WordPress外掛WooCommerce爆遠端程式攻擊漏洞,逾400萬網站受累

結合WooCommerce的檔案刪除漏洞,取得WooCommerce商店經理(Shop Manager)權限的駭客,再利用WordPress權限管理上的漏洞,可掌控WordPress網站並執行遠端程式攻擊。

2018-11-09

研究人員揭露DJI漏洞,恐讓駭客偷走無人機拍攝的機密影像

Check Point指出DJI的身份驗證程序存在漏洞,駭客只要在DJI論壇張貼含有惡意連結的文章,登入的DJI用戶點選該連結,駭客就能取得其登入憑證,存取其DJI帳號的內容。

2018-11-09

特定Apache Struts 2版本含有陳年漏洞,曝遠端執行程式攻擊風險

漏洞存在於Apache Struts 2所使用的Commons FileUpload 1.3.2函式庫上,導致遠端程式攻擊,儘管在2016年便已修補,但Apache今年10月釋出Struts 2.3.36時仍使用含漏洞的函式庫版本,呼籲用戶儘快更新。

2018-11-07

固態硬碟加密機制遭爆有漏洞,可能外洩加密資料

研究人員在市售五款SSD產品上發現其使用的加密機制存在漏洞,可讓能夠存取這些硬碟的第三方人士,不需密碼就能取得其中的資料,特別在Windows BitLocker的風險更高。

2018-11-06

研究人員揭露Edge零時差漏洞

研究人員展示利用Edge的漏洞執行其他應用程式,並且準備打造一概念性攻擊驗證程式,以突破沙箱的保護,進而掌控使用者的電腦。

2018-11-05

X.Org的X Server含有權限擴張漏洞,波及眾多Linux與BSD系統

編號CVE-2018-14665的漏洞存在於X.Org的X Server上,可能讓未具有特殊權限的使用者登入系統擴張權限,以最高權限執行任意程式,影響X Server 1.19及之後的版本。

2018-10-30

當心! 插入YouTube影片的Word文件可能讓惡意程式上身

駭客可以建立一個插入線上影音的Word文件,例如YouTube,竄改Word文件夾中的document.xml檔案的參考,再誘導被害者開啟文件,就會呼叫IE執行嵌入的檔案,感染勒索軟體或木馬。

2018-10-29

思科修補WebEx Meetings app權限升級漏洞

漏洞存在於WebEx Meeting桌機版程式中的處理更新服務指令元件,駭客可透過開採漏洞,取得系統管理員權限,思科將該漏洞列為重要風險等級。

2018-10-26

AWS修補IoT平台FreeRTOS的13個安全漏洞

Zimperium指出13個漏洞藏匿在FreeRTOS的TCP/IP元件與AWS的安全連結模組中,而同樣的漏洞也出現在由WHIS打造的商業版OpenRTOS與強調安全性的SafeRTOS版本的TCP/IP元件內,駭客開採漏洞可讓裝置當機、自裝置記憶體存取資訊或從遠端執行程式。

2018-10-22

jQuery知名外掛File Upload遭爆有存在超過8年的安全漏洞

研究人員指出jQuery File Upload的漏洞,可讓駭客上傳一個介殼程式到伺服器上執行,也影響其他jQuery File Upload為基礎的專案。

2018-10-22

研究人員公布D-Link路由器漏洞,牽涉8款產品,D-Link只修補2款

研究人員發現的3個漏洞,可讓駭客掌控入侵的路由器,共影響8款產品,由於6款產品已結束產品生命周期,D-Link僅承諾修補2款。研究人員揭露漏洞資訊外,也釋出概念性驗證攻擊程式。

2018-10-19

Windows 爆RID綁架漏洞,至少10個月未修補

Windows系統被發現存在RID綁架漏洞,雖不會引發遠端程式碼執行,但駭客只要破解電腦帳戶密碼,就能將低權限的用戶帳號升級為管理員權限,等於在Windows上開啟後門。

2018-10-18