| Chrome | 安全更新 | CVE-2021-30551 | 零時差漏洞

Google本月二次修補已被開採的Chrome漏洞

CVE-2021-30554存在於WebGL,根據Google的說法,已有一個針對該漏洞的攻擊程式流落在外

2021-06-18

| GPRS | GEA-2 | GEA-1 | 加密演算法 | 資料安全 | 竊聽 | 手機

研究:2G網路GPRS資料所使用的GEA-1加密演算法被刻意削弱了

歐洲電信標準協會(ETSI)坦承GEA-1存在缺陷,原因是他們當年選擇妥協於法規要求而限制GEA-1的能力,而非優先保障手機用戶的資料安全

2021-06-18

| 去識別化 | 法遵 | 醫療 | 金融 | 完全同態加密 | FHE | 開源 | google | IBM | 差分隱私函式庫 | 機器學習 | ML | AI

Google開源完全同態加密軟體工具

完全同態加密(FHE)工具讓應用程式得以處理加密狀態下的資料,有助於企業將敏感資料處理作業委外,例如金融或醫療業的用戶資料

2021-06-18

| 軟體供應鏈 | 網路威脅 | 供應鏈安全 | SLSA | 安全框架 | 資安

Google推動軟體供應鏈安全框架SLSA

Google提出旨在確保軟體供應鏈安全的框架SLSA,是以該公司內部所有營運作業都採用的部署時強制檢查機制為基礎發展而成

2021-06-18

| 物聯智慧 | SDK | 修補 | 安全漏洞 | 資安 | Kalay | CISA | ThroughTek

CISA警告:臺廠物聯智慧的SDK含有可能遭第三方竊聽的嚴重漏洞

針對美國政府CISA警告的CVE-2021-32934漏洞,物聯智慧已於2018年釋出的SDK 3.1.10提供修補,但部分客戶並未升級,使漏洞問題一直存在於市面,該公司強烈建議客戶查看產品所採用的SDK版本,並儘快升級

2021-06-18

| Peloton | 健身設備 | Peloton Bike+ | Peloton Tread | 安全漏洞 | 資安 | 供應鏈攻擊

Peloton健身App漏洞可能使駭客接管裝置

McAfee發現健身器材製造商Peloton的Android版健身App含有安全漏洞,讓攻擊者得以遠端存取健身飛輪的相機或麥克風,甚至在設備出廠前就植入後門,Peloton獲報後於6月初完成修補

2021-06-17

| CVS Health | 資料庫 | 配置錯誤 | 配置不當 | 資料外洩 | 資安 | 個資

美健康照護商CVS Health外洩逾10億筆營運資料

CVS Health外洩的資料包含訪客ID、連線ID、消費者姓名以及Email帳號,研究人員以此搜尋比對網路上已外洩個資,便能辨識出CVS Health部分消費者身分

2021-06-17

| 醫療設備 | 心臟急救設備 | 安全漏洞 | 體外除顫器 | Zoll

Zoll心臟電擊器管理軟體重大漏洞可上傳Excel檔執行惡意指令

Zoll已釋出儀表板最新2.2版以解決6項安全漏洞,美國政府呼籲醫院或其他用戶儘速升級到最新版本

2021-06-16

| 資安一周 | 資安周報 | IT周報

資安一周第150期:福斯汽車外包商驚傳資料外洩

6/10-6/16 一定要看的資安新聞

 

2021-06-16

| BEC | 商業電郵詐騙 | 網釣 | 資安 | 釣魚郵件 | Microsoft 365 | IMAP/POP3 | MFA

BEC詐騙信件對Microsoft 365用戶進行攻擊

微軟發現攻擊者使用舊式郵件協定如IMAP/POP3,以繞過Exchange Online帳號的MFA

2021-06-16

| CVE-2021-21985 | 資安 | 安全漏洞 | VMware vCenter Server | VMware Cloud Foundation

VMWare被開採的零時差漏洞仍有數千臺系統未修補

儘管安全公司及美國政府呼籲企業修補,不過網路上仍然有大量VMware主機曝險

2021-06-16

| 客戶端加密 | Google Workspace | 資安 | 加密金鑰 | 金鑰管理

Google Workspace允許企業自行儲存加密金鑰

Google Workspace推出客戶端加密(Client-side encryption),允許用戶直接管理加密金鑰,或讓用戶選擇金鑰管理服務,同時確保資料安全性,以及資料主權、法規遵循要求

2021-06-15