| Facebook Business Suite | 漏洞

臉書小企業管理工具可能曝露IG用戶的電郵

Facebook Business Suite被研究人員發現存在漏洞,可能讓第三方人士讀取到IG用戶的電子郵件及帳號等個資,臉書在接獲通報後數小時內將之修補

2020-12-22

| SolarWinds | Orion Platform | 漏洞

微軟Defender Antivirus將開始封鎖惡意的SolarWinds二進位檔案

微軟Defender Antivirus將從臺北時間17日起,開始封鎖已知的惡意SolarWinds二進位檔案

2020-12-16

| PDF函式庫 | 漏洞 | PDF-Lib | jsPDF

研究人員揭露新的程式碼注入可竊取伺服器敏感PDF文件內容

安全的函式庫應該要能跳脫(escape)URI或文字字串中的括號或反斜線,要是缺乏這能力,攻擊者就可以透過呼叫PDF JavaScript,或利用submitForm action對外部URL發出POST呼叫,類似Blind XSS攻擊手法

2020-12-11

| uIP | FNET | picoTCP | Nut/Net | 開源TCP/IP堆疊 | 漏洞

研究人員揭露4個開源TCP/IP堆疊的安全漏洞Amnesia:33

uIP、FNET、picoTCP與Nut/Net是全球數百萬連網裝置的基礎元件,導致這4個開源TCP/IP堆疊含有的多項安全漏洞,估計影響逾150家供應商

2020-12-09

| 微軟Teams | 漏洞

研究人員揭露Microsoft Teams桌機版App零點擊RCE漏洞

安全研究人員揭發Teams桌機版含有遠端程式碼執行漏洞,可由teams.microsoft.com的跨網站指令碼注入漏洞觸發

2020-12-09

| VMWare Workspace One | 漏洞 | CVE-2020-4006

俄國駭客正積極開採VMware存取及身分管理產品漏洞

VMware上周針對Workspace One管理組態工具漏洞CVE-2020-4006釋出修補程式,美國國安局建議用戶儘速修補,因為俄羅斯國家級駭客正在開採該漏洞

2020-12-08

| MobileIron | MobileIron Core | MobileIron Cloud | 漏洞 | CVE-2020-15505 | CVE-2020-15506 | CVE-2020-15507 | 英國國家網路安全中心 | Orange Tsai

英國呼籲各大組織儘速修補MobileIron行動裝置管理漏洞2020-15505

影響MobileIron Core/MobileIron Cloud的CVE-2020-15505漏洞,官方已於今年6月提供修補,但概念性驗證攻擊程式於9月現身後,美國與英國網路安全機構便先後公告已有駭客組織正利用CVE-2020-15505和其他設備已知漏洞,發動網路攻擊

2020-11-25

| VMWare Workspace One | CVE-2020-4006 | 漏洞 | 緩解措施

VMWare管理平臺產品Workspace One爆重大指令注入漏洞,官方公布緩解措施,修補程式還在路上

在CVE-2020-4006漏洞的對應修補出爐前,美國政府建議VMWare Workspace One產品線使用者盡快採取官方提供的緩解措施,避免被駭客接管系統

2020-11-25

| 路由器 | 後門 | 漏洞 | 中國 | Wavlink | Jetstream | Winstars

研究:多款路由器內含已被開採的後門漏洞,包括於Walmart獨家銷售的中國品牌Jetstream

中國Winstars Technology子公司生產的Wavlink與Jetstream品牌路由器含有後門漏洞,相關漏洞已遭開採用來散布Mirai殭屍病毒,且攻擊IP位於中國

2020-11-24

| Cisco Webex | 漏洞

思科修補可讓駭客溜進會議的Webex漏洞

CVE-2020-3419使取得會議連結及與會密碼的駭客不會出現在與會人員列表,卻能存取會議中的聲音、影片、聊天或螢幕分享

2020-11-19

| Patch Tuesday | 微軟 | 安全更新 | 修補 | 漏洞

微軟Patch Tuesday修補112項漏洞,包括能和Chrome漏洞串聯的零時差漏洞

編號CVE-2020-17087的Windows核心的pool-based緩衝溢位漏洞,可和Chrome瀏覽器Freetype零時差漏洞串聯起來,讓惡意程式突破沙箱而在Windows執行,已出現實際攻擊行動

2020-11-11

| 漏洞 | GitHub Actions | Google Project Zero | CVE-2020-15288

拒絕展延修補寬限期,Google準時公布GitHub高風險漏洞

與GitHub官方對存在於Actions服務的漏洞修補方式無法達成共識,Project Zero成員決定不再給GitHub修補寬限期,自行揭露CVE-2020-15228漏洞細節

2020-11-06