微軟ADFS含有可繞過多因素認證的安全漏洞

這項ADFS漏洞可使取得A員工帳號、密碼及第二認證因素的駭客,當以B員工的身份,輸入帳號、密碼及A員工的第二認證因素就能登入系統,前提是A與B在同一個AD組織中。

2018-08-16

利用macOS High Sierra漏洞以虛擬點擊就能繞過安全機制

研究人員發現結合漏洞,駭客可以虛擬點擊方式繞過合成點擊的安全機制,可執行不受信賴的軟體,而不需要使用者點滑鼠。研究人員曾向蘋果通報這個漏洞並獲得修補,但現在發現該漏洞再次出現。

2018-08-16

研究人員再爆第三個處理器推測執行旁路攻擊手法L1TF

研究人員揭露新的處理器推測執行旁路攻擊手法L1TF,英特爾進一步研究再發現兩個與L1TF有關的漏洞,開採漏洞可能使得駭客取得L1快取的資訊。

2018-08-15

【DEF CON 2018】25款Android手機的韌體或預載程式含有安全漏洞

研究人員在25款Android手機出廠時的韌體或預載程式上發現大大小小35個漏洞,包括任意程式執行、取得數據機與程序日誌、移除裝置使用者資料、讀取或變更裝置用戶簡訊等等。

2018-08-13

【Black Hat 2018】:小心mPOS讀卡機內含安全漏洞,竄改消費金額讓你荷包大失血

Positive Technologies在黑帽駭客大會上揭露在美國與歐洲的熱門mPoS品牌,包括Square、SumUp、 iZettle與PayPal存在安全漏洞,可讓駭客進行中間人攻擊,能變更支付金額,或是顯示交易失敗,讓消費者用其他方式再付一次。

2018-08-13

D-Link路由器漏洞將用戶導向巴西網釣網站

駭客利用D-Link於2015年即已存在的漏洞,竄改路由器上DNS伺服器設定,將巴西兩家銀行客戶流量導向釣魚網站,意圖騙取用戶的銀行帳密。

2018-08-13

智慧城市牢不可破?IBM揭露智慧城市系統的17個安全漏洞

IBM與資安業者Threatca聯手,檢視智慧城市所使用的Libelium、Echelon與Battelle系統,發現這些被應用在智慧交通系統、災難管理、工業物聯網的裝置潛藏漏洞,可能使駭客可以竄改數據、觸發警報製造恐慌及混亂。

2018-08-10

假新聞充斥惹議,WhatsApp再被爆含有可竄改通訊內容的安全漏洞

Check Point的安全研究人員利用逆向工程,研究WhatsApp的程式運作方式,找到傳送訊息所使用的參數,得以竄改對方回覆的內容,但前提是駭客必需身處一對一對話或是群組中。

2018-08-09

快修補! 微軟Edge瀏覽器有本機資料竊取漏洞

駭客可發送網釣郵件,誘騙使用者下載執行惡意的HTML檔,就可能竊取用戶電腦中的資料,微軟已在7月的安全更新中修補該漏洞。

2018-08-03

三星第一版SmartThings Hub爆可被駭客接管的20項漏洞

思科安全研究團隊在三星的SmartThings Hub上發現大大小小約20個漏洞,駭客鎖定不同漏洞進行攻擊,可竊取資訊或是接管IoT裝置,控制用戶家中的無線攝影機、智慧門鎖。

2018-07-30

新Spectre漏洞攻擊手法,可從遠端竊取機器資料

新的Spectre攻擊手法NetSpectre,展現Spectre攻擊從本機端擴大為遠端攻擊,攻擊者只要傳出特定變造過的呼叫,即可存取不同網路間相應應用程式的記憶體內容,甚至整個核心記憶體。

2018-07-30

藍牙配對規格有瑕疵,恐造成中間人攻擊,蘋果、英特爾及高通都遭殃

研究發現藍牙裝置配對所使用的橢圓曲線參數,在某些情境下,參數並沒有全數經過驗證,因而使得在藍牙傳輸距離內的駭客得以注入無效的公鑰來判斷對談金鑰,除了可被動接受及解密所有的通訊之外,也能注入偽造或惡意的訊息。

2018-07-25