微軟IIS 6.0舊漏洞再被用來挖礦

IIS 6.0主要是Windows Server 2003的服務,微軟已於2016年終止支援支援服務,去年3月IIS 6.0被揭露漏洞,近來研究人員發現該漏洞又遭利用,用以進行挖礦攻擊。

2018-04-16

Debian與Ubuntu相繼修補Beep套件的權限擴張漏洞

安全研究人員發現在設定setuid權限後,Beep套件就會產生競爭條件,進而允許本地權限擴張,讓駭客取得系統的最高權限,探查、開啟或竄改系統上的任何檔案,受影響的從舊版到最新的1.3.4版本都受到波及。

2018-04-10

駭客濫用Cisco Smart Install協定,伊朗3500台交換器遭駭

上周伊朗宣稱該國境內3,500台交換器遭到駭客攻擊,思科亦證實此事,並表示已接獲不同國家的多項攻擊報告。建議用戶可以關閉Smart Install功能,並儘速修補位於Smart Install的CVE-2018-0171漏洞。

2018-04-09

Intel Remote Keyboard含有權限擴張漏洞,英特爾:免修補直接移除!

Intel Remote Keyboard含有3個安全漏洞,全屬權限擴張漏洞,可讓在同一網路上的駭客假冒用戶執行輸入,或允許本地端駭客入侵其它遠端鍵盤,還可讓本地端駭客提高權限以執行任意程式,所有版本均受影響。

2018-04-06

腦波儀軟體漏洞可讓駭客入侵醫院網路

研究人員在知名腦波儀Natus NeuroWorks中發現5個漏洞,可讓駭客藉機存取裝置上的病患資訊、存取醫院網路上其他系統,或是發動阻斷攻擊。

2018-04-06

英特爾:特定舊款處理器將不會修補Spectre漏洞

這些處理器涵蓋了英特爾Core、Celeron、Pentium及Xeon等較早期的CPU,有些甚至可追溯到2008年,使用者已經很少。

2018-04-05

研究人員警告:LiveChat與TouchCommerce等線上客服工具含有員工資訊外洩漏洞

這些線上客服工具都有相同的漏洞,可能外洩客服人員的姓名、員工編號、位置、電子郵件,或是主管的姓名/員工編號與客服中心的名稱,進而被用於社交工程,展開進一步的攻擊行動。

2018-04-04

iOS 11的Camera app有QR Code漏洞,可能將用戶導向惡意網站

研究人員發現iOS的相機程式存在一項漏洞,無法正確偵測QR Code URL中的主機名稱,讓攻擊者可以假造通知中顯示的URL,達到誘騙使用者連向第三方網站的目的。

2018-04-02

快修補!思科爆重大遠端程式碼執行漏洞,850萬台交換器拉警報

漏洞存在於IOS及IOS XE的Smart Install中,思科指出漏洞可讓未經驗證的遠端攻擊者驅動裝置重新載入,造成阻斷服務或是任意程式碼執行攻擊。

2018-03-30

微軟Meltdown修補程式反而造成部分Windows 7有更大漏洞

正常情況下只有作業系統核心(Supervisor)才可存取PML 4分頁表,但Windows修補程式中將PML4權限設定改成User後,分頁表內容即暴露給所有程序中的User模式下的程式碼,而使app存取只要撰寫PTE (Page Table Entries)即可存取任意的實體記憶體資訊。

2018-03-28

微軟「遠端協助」有漏洞,恐使用戶資料不保

趨勢科技的安全人員發現微軟的「遠端協助」存在XXE漏洞,駭客可發送惡意的遠端協助邀請,被邀者以為可幫人解決IT問題,卻不知道包含用戶名稱及密碼的特定log或config檔已被回傳至攻擊者控制的伺服器。

2018-03-22

AMD證實CTS Labs提報的漏洞確實存在,正著手修補

AMD證實了CTS Labs公布的安全漏洞,並指這些漏洞與嵌入式安全處理器的韌體管理,以及某些Socket AM4及Socket TR4桌面平台有關,並未涉及AMD Zen架構。

2018-03-21