資安
資安周報
在2020年的最後一個月,美國政府爆發了史上最為嚴重的SolarWinds供應鏈攻擊事件,引起全球關注。但在此同時,關乎臺灣所有民眾的數位身分證,政府推動的狀態也出現了轉折,後續的發展更值得我們留意
2021-01-11
安全的函式庫應該要能跳脫(escape)URI或文字字串中的括號或反斜線,要是缺乏這能力,攻擊者就可以透過呼叫PDF JavaScript,或利用submitForm action對外部URL發出POST呼叫,類似Blind XSS攻擊手法
2020-12-11
駭客暴力破解連結公開網路且採用薄弱憑證的MySQL伺服器,下載取走資料庫複本後便將其移除,如果受害單位不願支付贖金,便放到暗網出售
2020-12-11
研究人員發現殭屍網路病毒TrickBot捲土重來,駭客鎖定UEFI韌體漏洞
威脅情資業者Advanced Intelligence(AdvIntel),與專精韌體安全的Eclypsium共同研究,公布殭屍網路病毒TrickBot新的攻擊模組「TrickBoot」,這是可偵測UEFI韌體漏洞的工具組。由於該病毒鎖定開機層面,也導致攻擊更難被發現
2020-12-11
Adobe釋出最後一版Flash Player,明年1月12日封鎖Flash內容
Adobe並未要用戶升級,而是呼籲用戶應立即移除Flash Player,因為明年1月1日起,用戶不會再獲得任何功能及漏洞修補程式
2020-12-11
今年最後一個Patch Tuesday,微軟修補58個安全漏洞
ZDI建議IT管理人員優先修補Microsoft Exchange的各式漏洞,其中的CVE-2020-17132,ZDI研究人員揣測,若駭客掌控了某個人的信箱,也許就能掌控整個Exchange伺服器
2020-12-11
自明年1月起,當使用者賦予擴充程式權限以存取某個網站的資料時,Chrome將會記住此一設定,但只限於該站,擴充程式若要存取其它網站的資料,必須再取得授權
2020-12-10
5G安全 | X-Force Red | 滲透測試 | 供應鏈安全
IBM針對5G產業推滲透測試服務,將涵蓋中上下游產業鏈如晶片、核網與SDN
要如何讓5G安全能夠落實,今年IBM提出針對5G產業供應鏈的滲透測試服務,要讓這類通訊設備與元件的安全從中上下游供應商做起。
2020-12-10
疫情加速人們深入線上生活、遠端協作,也對Line帶來多項大挑戰,不只得克服資料量暴增考驗,還得快速調整開發重心,搶攻店家和民眾的抗疫數位新需求。為了因應後疫新常態,Line更在AI、資安、區塊鏈展開新的技術戰略布局
2020-12-10
uIP | FNET | picoTCP | Nut/Net | 開源TCP/IP堆疊 | 漏洞
研究人員揭露4個開源TCP/IP堆疊的安全漏洞Amnesia:33
uIP、FNET、picoTCP與Nut/Net是全球數百萬連網裝置的基礎元件,導致這4個開源TCP/IP堆疊含有的多項安全漏洞,估計影響逾150家供應商
2020-12-09
CloudFlare | DNS標準 | Oblivious DNS over HTTPS | ODoH | DOH
Cloudflare與蘋果聯手打造更具隱私的Oblivious DNS-over-HTTPS協定
新的DNS標準Oblivious DNS over HTTPS(ODoH),強調隱私防護能力比DoH完備,可避免ISP或DNS解析業者窺探使用者隱私
2020-12-09
研究人員揭露Microsoft Teams桌機版App零點擊RCE漏洞
安全研究人員揭發Teams桌機版含有遠端程式碼執行漏洞,可由teams.microsoft.com的跨網站指令碼注入漏洞觸發
2020-12-09