| 資安日報

【資安日報】4月13日,駭客挾持合法網站,向使用者宣稱需要更新Chrome瀏覽器的名義,散布挖礦程式

日本資安業者揭露假借瀏覽器更新名義的惡意軟體攻擊行動,過程中駭客會先入侵合法網站,再對於瀏覽網站的使用者下手

2023-04-13

| google | 軟體供應鏈 | OSS

Google發布deps.dev API與Assured OSS服務,強化開源程式碼使用安全

Google推出deps.dev API和Assured OSS服務,提供套件安全後設資料和經驗證套件,保護開源軟體供應鏈安全降低漏洞攻擊風險

2023-04-13

| MSMQ | CVE-2023-21554 | 微軟

Check Point呼籲使用者儘速修補微軟的MSMQ漏洞

基於CVE-2023-21554漏洞影響廣泛,允許駭客於MSMQ伺服器上執行任意程式,Check Point建議IT管理人員檢查伺服器與客戶端是否安裝啟用MSMQ服務,並儘快部署微軟發布的修補

2023-04-13

| LinkedIn | 身分驗證 | CLEAR | Microsoft Entra

LinkedIn發表免費身分驗證服務

用戶除了能以現職公司電子郵件進行身分驗證外,LinkedIn也與身分驗證平臺CLEAR及微軟合作,分別針對美國用戶身分以及數位工作場所身分提供驗證服務

2023-04-13

| 資安日報

【資安日報】4月12日,微軟發布本月份例行修補,緩解已遭勒索軟體利用的CLFS零時差漏洞

微軟發布了4月份的例行修補(Patch Tuesday),總共針對近百個漏洞提供更新程式,值得留意的是,其中的CVE-2023-28252為零時差漏洞,且已出現攻擊行動

2023-04-12

| 微軟 | 3CX | CVE-2013-3900 | Patch Tuesday | CVE-2023-28252 | 零時差漏洞

微軟修補一個已被勒索軟體駭客濫用的零時差漏洞

微軟4月11日公布並修補位於Windows CLFS驅動程式的零時差漏洞,基於這項漏洞已出現實際攻擊行動,美國網路安全暨基礎設施安全局(CISA)也立即要求政府機關限時修補

2023-04-12

| OpenAI | 抓漏專案 | 漏洞獎勵 | ChatGPT | 隱私漏洞 | 安全漏洞

OpenAI啟動抓漏專案

OpenAI發布漏洞獎勵計畫,以找出OpenAI與ChatGPT在IT架構與應用上的隱私及安全漏洞

2023-04-12

| QuaDream | 以色列駭客公司 | KingsPawn | iOS 14 | 間諜程式

公民實驗室與微軟揭露另一以色列駭客公司QuaDream

根據微軟的調查,QuaDream銷售名為Reign的平臺予全球政府組織,該平臺供應各種攻擊工具,其中之一為鎖定 iOS 14的間諜程式KingsPawn

2023-04-12

| 百勝集團 | 勒索軟體 | 資料外洩

勒索軟體攻擊導致肯德基、必勝客母公司用戶資料外洩

今年1月間的勒索軟體攻擊事件,不但導致百勝餐飲集團(Yum Brands)旗下近300家餐廳暫停營業一天,該公司事後調查發現用戶資料也因此外洩

2023-04-12

| 蘋果 | 零時差漏洞 | 安全更新 | CVE-2023-28206 | CVE-2023-28205

蘋果修補舊版iPhone、Mac電腦2個零時差漏洞

針對上周公布的2項零時差漏洞,蘋果針對舊款iPhone、iPad及Mac電腦發布更新予以修補

2023-04-12

| ChatGPT | DDR | 企業資料外洩 | 個資 | Cyberhaven

資安公司監測160萬人,竟有3.1%員工上傳機敏資料到ChatGPT

光在3月14日這一天,就偵測到每10萬名員工中,發生5,267起員工企圖將企業資料貼上ChatGPT的資料外流事件,換句話說,每20名員工就會發生一次企業資料外流事件,其中少數是機敏資料遭外流

2023-04-11

| 資安日報

【資安日報】4月11日,惡意NPM套件被用於網釣攻擊,並癱瘓套件庫系統的運作

NPM套件庫竟變成駭客用於散布釣魚網站的管道!有資安業者發現駭客於上個月上傳大量套件進行相關攻擊,結果導致該套件庫出現服務不穩定的現象

2023-04-11