| Google Ads | Youtube | IDOR | 資安 | 漏洞

Google Ads存在漏洞,使惡意人士可擷取任意YouTube用戶私人影片內容

透過Google Ads後臺的Moments漏洞,惡意人士可以存取任意用戶私人影片的影像內容

2021-01-12

| 資安 | 2021資安大預測 | CVSS | 漏洞 | 年度十大漏洞

【2021資安大預測】趨勢2:漏洞攻擊|CVSS近滿分漏洞頻傳,企業難以招架

在2020年,不斷有風險程度近10分的漏洞遭到揭露,遍及各種應用系統與網路設備,甚至不久之後就出現攻擊行動,這種態勢很可能會在2021年延續

2021-01-11

| SolarWinds | 供應鏈攻擊 | TeamCity | Jetbrains | 漏洞 | 資安

自家軟體被指是駭客攻入SolarWinds產品破口,JetBrains否認

媒體報導宣稱SolarWinds產品遭駭,可能和SolarWinds使用的TeamCity軟體有關,TeamCity軟體開發商JetBrains公司引述SolarWinds官方發言,澄清TeamCity和攻擊事件無關

2021-01-08

| 勒索軟體 | Egregor | 美國聯邦調查局 | FBI | 勒索軟體即服務 | RDP | VPN | 漏洞

FBI警告企業Egregor勒索軟體來襲

Egregor據信是接手另一款勒索軟體Maze資源,而興起的勒索軟體即服務,透過發送釣魚信以及開採RDP或VPN漏洞等手法駭入企業

2021-01-08

| 合勤 | Zyxel | 韌體 | 漏洞 | 後門 | 防火牆 | AP控制器 | CVE-2020-29583

【20210108更新】部份合勤網路與資安設備含有程式碼寫死的漏洞,快更新韌體

合勤接獲研究人員通報後,已針對編號CVE-2020-29583漏洞,修補ATP、USG、USG FLEX與VPN系列的防火牆產品,至於NXC2500及NXC5500兩款AP控制器的修補程式,預計1月8日釋出

2021-01-04

| Google Docs | 漏洞 | 傳送回饋 | Send Feedback | 竊資

Google Docs漏洞可讓駭客劫持用戶文件

漏洞源自Google服務的「傳送回饋」(Send Feedback)功能,研究人員發現可由此取得受害者Google Docs擷圖

2021-01-01

| Dell Wyse | ThinOS | 漏洞 | CVE-2020-29491 | CVE-2020-29492

Dell針對Wyse電腦OS修補2個危險度滿分的安全漏洞

Dell精簡型電腦Wyse的作業系統含有2項重大漏洞,可讓攻擊者在電腦上遠端執行程式碼,或存取任意檔案。所有執行ThinOS 8.6及以前版本的Wyse終端裝置都受影響,Dell於今年6月接獲安全公司通報後,本周發布安全公告提供修補

2020-12-24

| Facebook Business Suite | 漏洞

臉書小企業管理工具可能曝露IG用戶的電郵

Facebook Business Suite被研究人員發現存在漏洞,可能讓第三方人士讀取到IG用戶的電子郵件及帳號等個資,臉書在接獲通報後數小時內將之修補

2020-12-22

| SolarWinds | Orion Platform | 漏洞

微軟Defender Antivirus將開始封鎖惡意的SolarWinds二進位檔案

微軟Defender Antivirus將從臺北時間17日起,開始封鎖已知的惡意SolarWinds二進位檔案

2020-12-16

| PDF函式庫 | 漏洞 | PDF-Lib | jsPDF

研究人員揭露新的程式碼注入可竊取伺服器敏感PDF文件內容

安全的函式庫應該要能跳脫(escape)URI或文字字串中的括號或反斜線,要是缺乏這能力,攻擊者就可以透過呼叫PDF JavaScript,或利用submitForm action對外部URL發出POST呼叫,類似Blind XSS攻擊手法

2020-12-11

| uIP | FNET | picoTCP | Nut/Net | 開源TCP/IP堆疊 | 漏洞

研究人員揭露4個開源TCP/IP堆疊的安全漏洞Amnesia:33

uIP、FNET、picoTCP與Nut/Net是全球數百萬連網裝置的基礎元件,導致這4個開源TCP/IP堆疊含有的多項安全漏洞,估計影響逾150家供應商

2020-12-09

| 微軟Teams | 漏洞

研究人員揭露Microsoft Teams桌機版App零點擊RCE漏洞

安全研究人員揭發Teams桌機版含有遠端程式碼執行漏洞,可由teams.microsoft.com的跨網站指令碼注入漏洞觸發

2020-12-09