| Chrome | 零時差漏洞 | 越界寫入 | CVE-2024-4671 | CVE-2024-4761 | V8

Google修補Chrome漏洞CVE-2024-4761,與上一個零時差漏洞僅相隔不到一週

本週一Google發布電腦版Chrome 124更新版本124.0.6367.207、208,主要目的就是修補零時差漏洞CVE-2024-4761,值得留意的是,該公司才在上週修補另一個零時差漏洞,兩次更新間隔僅有4天

2024-05-15

| 臺灣資安大會 | 零時差漏洞 | Brian Gorenc

【臺灣資安大會直擊】全球最大ZDI零日漏洞懸賞計畫負責人剖析垂直產業零時差漏洞管理四類型,更提出GenAI對未來漏洞揭露的影響

在今天(5/14)臺灣資安大會首日主題演講中,趨勢科技威脅研究副總Brian Gorenc剖析各產業軟體漏洞生命周期各階段的挑戰,以及應對策略,更提出他對於生成式AI未來如何影響漏洞揭露的觀察。

2024-05-14

| 蘋果 | iOS | iPadOS | macOS 12 | macOS 13 | 零時差漏洞 | CVE-2024-23296

蘋果針對舊版iOS、iPadOS、macOS作業系統,修補3月公布的零時差漏洞CVE-2024-23296

本週一(5月13日)蘋果發布本月份例行更新,當中最引起注意的部分,是他們於3月公告的零時差漏洞CVE-2024-23296,這次也對舊版作業系統提供相關修補

2024-05-14

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 勒索軟體 | 關鍵CI攻擊

【資安週報】2024年5月6日到5月10日

這一星期的漏洞新聞,以Chrome零時差漏洞利用的修補,還有Delinea、F5的漏洞修補值得留意;在資安威脅態勢方面,駭客濫用API的態勢日益增長情形最要關注,近期Dell資安事件疑外洩近5千萬用戶資訊,就是與濫用Dell網站API有關

2024-05-13

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 勒索軟體 | 關鍵CI攻擊

【資安週報】2024年4月29日到5月3日

這一期資安週報中,以GitLab、WP-Automatic Plugin的漏洞利用狀況最受關注;在資安威脅焦點方面,Dropbox旗下Dropbox Sign數位簽章方案遭駭受矚目,勒索軟體攻擊事件亦帶來嚴重影響,加拿大連鎖藥局暫停營業6天,瑞典物流業者遇駭衝擊當地酒品供應,並還有親俄駭客鎖定水力設施關鍵CI的攻擊手法揭露

2024-05-06

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 軟體供應鏈攻擊 | 勒索軟體

【資安週報】2024年4月22日到4月26日

在這一星期的漏洞新聞中,思科與CrushFTP的零時差漏洞利用狀況需特別留意,還有8家輸入法供應商被通報多項漏洞的消息;在資安威脅態勢方面,有研究人員向企業提出警告,注意駭客鎖定SAP旗下應用系統攻擊的態勢,以及鎖定網頁伺服器部署Web Shell的攻擊行動

2024-04-27

| 國家駭客 | 思科 | CVE-2024-20353 | VPN | CVE-2024-20359 | 零時差漏洞

國家級駭客攻陷思科零時差漏洞,已於各國政府網路植入後門

思科旗下Cisco Talos警告,駭客從去年底開始,便利用思科ASA軟體零時差漏洞,鎖定政府網路植入後門程式

2024-04-25

| CrushFTP | CVE-2024-4040 | 漏洞修補 | 零時差漏洞

檔案伺服器軟體CrushFTP存在零時差漏洞,攻擊者可逃脫虛擬檔案系統下載伺服器的系統檔案

檔案伺服器軟體CrushFTP開發團隊近日針對用戶提出警告,有人利用零時差漏洞CVE-2024-4040從事攻擊行動,呼籲用戶儘速套用新版程式來進行修補

2024-04-23

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 勒索軟體 | 網釣攻擊

【資安週報】2024年4月15日到4月19日

這一星期有Oracle、Putty的漏洞修補須重視,還有中繼資料管理工具OpenMetadata上月修補漏洞已出現遭利用的情況;在資安威脅態勢焦點方面,有多個廠牌的VPN系統或SSH服務正被攻擊者鎖定的消息,以及6種殭屍網路病毒都在鎖定TP-Link路由器已知漏洞的情況

2024-04-22

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 供應鏈攻擊 | 開源軟體安全

【資安週報】2024年4月8日到4月12日

這一星期有微軟、D-Link、Palo Alto Networks的漏洞利用情況須重視,還有多家IT廠商的每月例行安全更新修補發布;在資安事件焦點方面,國內5家上市櫃發布資安事件重大訊息,包括佰研、富野、聯成、聯華、聯合再生,短短一周就有5篇資安事故公告,格外引人注目

2024-04-15

| 微軟 | Patch Tuesday | CVE-2024-21322 | CVE-2024-21323 | CVE-2024-29053 | 零時差漏洞 | CVE-2024-29988 | CVE-2024-26234

微軟4月Patch Tuesday修補147個安全漏洞,創歷史新高

微軟4月例行更新公布2個零時差漏洞,分別是代理驅動程式(Proxy Driver)欺騙漏洞,以及涉及SmartScreen提示安全功能被繞過漏洞

2024-04-10

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 供應鏈攻擊 | 開源軟體安全

【資安週報】2024年4月1日到4月3日

這一星期適逢清明連假,而連假前夕最大條的資安消息,就是關於XZ Utils程式庫被植入後門與漏洞的事件,還有2個漏洞利用要注意,包括AI框架Ray與Android Pixel的漏洞;資安事件焦點方面,以CISA的Ivanti伺服器遭駭,及OWASP基金會資料外洩,最受矚目,臺灣也發生亞昕資訊校務行政系統遭駭、7高中受影響的事件

2024-04-08