| Android Open Source Project | AOSP | 軟體供應鏈安全 | google

非Googler貢獻的AOSP修補程式碼需經2人審核

為了強化Android Open Source Project(AOSP)軟體供應鏈安全,Google擴大審查人力以確認外界對AOSP貢獻的修補程式碼是否藏毒

2023-09-21

| Signal | 量子電腦 | 公鑰加密系統

Signal採用新加密協定PQXDH,因應量子電腦時代的安全威脅

隱私通訊軟體Signal開始採用新的加密協定PQXDH,以對抗「先竊取,後解密」攻擊,因應量子電腦帶來的安全威脅,官方計畫舊的X3DH協定將在未來數周內停用

2023-09-21

| 趨勢科技 | 零時差漏洞 | CVE-2023-41179

趨勢科技揭露端點解決方案的零時差漏洞

趨勢科技9月19日公布影響Trend Micro Apex One與Worry-Free Business Security(WFBS)端點保護解決方案的零時差漏洞,受影響產品的修補版本已經提前在7月至9月12日之間陸續釋出

2023-09-21

| 資安日報

【資安日報】9月20日,面臨攻守極度失衡的局勢,FBI局長呼籲民間企業與政府積極合作,並將FBI納入資安防護計畫

FBI局長Christopher Wray在資安會議mWISE Conference 2023上指出,中國駭客人數至少是FBI資安專家50倍,政府、執法機關、民間企業必須聯防,才能對抗日益嚴重的網路攻擊

2023-09-20

| OpenAI | 紅隊演練 | 資安

OpenAI設立OpenAI Red Teaming Network,公開招募各領域的紅隊演練專家

OpenAI對外招募的紅隊演練專家類型不限資安產業,而是橫跨數十個專業領域,以協助該公司改善模型安全

2023-09-20

| mWISE2023 | FBI | 中國網軍 | 公私聯防

面對大50倍的中國駭客人數,FBI局長呼籲公私聯防

「就算集結FBI所有網路安全專家與情報分析師,全數應付中國的網路攻擊,在人數上仍遠遠不足。」美國聯邦調查局(FBI)局長Christopher Wray在mWISE 2023資安會議上說:「中國駭客人數是FBI所有資安專家的50倍以上。」

2023-09-20

| 資安日報

【資安日報】9月19日,Juniper甫修補的中等風險漏洞恐遭低估,研究人員發現能用於發動RCE攻擊,近1.2萬臺設備曝險

資安業者Juniper在8月修補數個僅有中等風險的網路設備漏洞,但現在有資安業者提出警告,其中一個漏洞可在攻擊者未經身分驗證的情況下,遠端發動攻擊,危險程度極高

2023-09-19

| google | Chronicle | Mandiant

Google推出統一Chronicle安全營運平臺

Google推出Chronicle安全營運平臺,整合SIEM、SOAR和Mandiant技術,大幅簡化威脅偵測和調查流程,還利用人工智慧強化威脅評估和查詢

2023-09-19

| 共用存取簽章 | SAS | 微軟 | GitHub | 配置錯誤 | 配置不當 | 資料外洩

配置錯誤讓微軟AI研究單位的GitHub儲存庫外洩38TB私有資料

資安業者Wiz發現微軟員工在共用存取簽章(SAS)權杖上的配置錯誤,讓微軟38TB的私有資料因此外洩

2023-09-19

| 資安日報

【資安日報】9月18日,開源物件儲存服務MinIO漏洞遭到鎖定,駭客企圖發動供應鏈攻擊,入侵企業組織內部環境

研究人員發現過往未曾出現的新攻擊手法,駭客鎖定開發人員而來,透過開源物件儲存服務MinIO於受害組織部署類似中國菜刀(China Chopper)的Web Shell

2023-09-18

| 印表機驅動程式 | Windows | Microsoft IPP Class Driver

Windows將漸次淘汰第三方印表機驅動程式

微軟公布Windows印表機驅動程式以Microsoft IPP Class Driver為優先的計畫時程,最終要讓Windows Update只提供第三方印表機驅動程式的安全類型更新

2023-09-18

| Google Authenticator | MFA | 同步 | OTP | 一次性密碼 | 備份 | 網路釣魚

安全專家指Google Authenticator MFA驗證碼雲端同步削弱安全性

安全廠商Retool公布自家員工因網釣攻擊而發生的安全事件,並指出有部分肇事原因來自Google Authenticator今年初開始,提供將一次性認證碼備份到Google帳號的功能設計不良

2023-09-18