| 卡巴斯基 | 漏洞 | 資安 | 防毒軟體 | 網頁防護 | Kaspersky Web Protection | 修補

卡巴斯基產品有漏洞,恐遭其他網站關閉防護功能,官方連修三次

卡巴斯基防毒產品出現漏洞,可導致外部網站存取其內部API,並得以關閉某些防護措施,這個漏洞似乎讓卡巴斯基頗為頭大,前後陸續修補了三次

2019-11-27

| Dexphot | 惡意程式 | 離地攻擊 | LOLbins | 行程掏空 | process hollowing | 多形 | 防毒偵測

惡意程式Dexphot以高明手法躲避偵測,8萬台Windows PC變比特幣挖礦機

Dexphot不但會清空合法行程內容,以便借其外殼執行惡意程式,還會每半小時就改變檔名及型態,以迴避防毒軟體偵測

2019-11-27

| 醫院 | 醫療 | 勒索軟體 | 醫療服務供應商 | 資安

提供110家療養院服務的IT業者VCPI被勒索軟體纏住了

醫療服務供應商已成為勒索軟體攻擊最大宗受害族群,不僅危害業者的生存能力,也威脅病患生命與健康

2019-11-27

| Firefox | 隱私 | 指紋追蹤 | 追蹤保護 | 個資

Firefox 72預設將啟用指紋追蹤保護

甫於十月推出的Firefox 70,已讓使用者能手動開啟指紋追蹤保護,而預計明年初發布的Firefox 72,將進一步預設啟用該功能

2019-11-26

| 微軟 | Avast | Windows 10 | 系統更新 | 防毒軟體

Windows 10更新和舊版AVG/Avast防毒軟體不相容,遭微軟暫停更新

1903及1909版Windows 10更新,和部份舊版AVG和Avast防毒軟體發生不相容,導致受影響用戶必須安裝新版防毒後,才能成功下載Win 10更新

2019-11-26

| 資料外洩 | 個資 | ElasticSearch | 伺服器 | 配置不當

公開的Elasticsearch伺服器曝露12億名民眾資料

又有研究人員尋獲可公開存取下載的Elasticsearch伺服器,裡面存放了12億筆民眾個資,堪稱史上最大宗資料外洩事件,這個無名伺服器可能來自於專精肉搜大眾個資的民間業者,但被點名的二家公司都矢口否認

2019-11-26

| 資安 | 安全弱點 | Fortinet | 加密金鑰 | 修補 | 安全更新 | CVE-2018-9195 | FortiGate | Forticlient | FortiGuard

部份Fortinet產品加密金鑰漏洞,可讓駭客竊聽用戶活動

安全研究人員發現Fortinet防火牆產品FortiGate及端點安全產品Forticlient,因程式撰寫問題導致加密金鑰曝露,可能讓駭客得以攔截用戶資料,或是操控、弱化FortiGuard雲端服務防護能力,Fortinet目前已釋出修補程式

2019-11-26

| AWS | 身份控制 | ABAC | RBAC

AWS支援外部身份系統以使用者屬性存取資源

現在外部身份系統也能透過配置對話屬性(Session),存取AWS中具相同屬性的資源

2019-11-26

| 開源 | 漏洞 | 資安 | VNC | 遠端存取 | 程式 | 網管 | 虛擬網路運算 | 開源VNC應用

4款VNC開源專案含有37個安全漏洞

奠基於虛擬網路運算(VNC)協定的4款開源實作,暗藏與錯誤的記憶體使用有關的漏洞,可能導致服務阻斷、允許駭客存取裝置資訊或植入惡意程式

2019-11-26

| 資安 | 資料外洩 | OnePlus

中國手機製造商OnePlus再傳客戶資料外洩

OnePlus聲稱客戶訂單資訊遭非法存取,使得客戶姓名、電話、電子郵件與地址資料外洩,但用戶付款資訊、密碼或帳號則不受影響

2019-11-26

| SaltStack | SecOps | 漏洞

SaltStack推SecOps解決方案可自動發現並修復安全漏洞

SaltStack透過結合系統配置和漏洞資訊,判斷出系統中可被利用與不可被利用的漏洞,企業可優先修補具實際威脅性的漏洞

2019-11-25

| 華為 | 後門 | 資安 | 國安 | 國家安全 | 美國 | 加拿大 | 五眼聯盟 | 5G

美國警告加拿大用華為5G設備,將影響提供情報

以華為網路產品有後門為由,美國國家安全顧問提醒五眼聯盟成員國之一的加拿大,應禁止華為參與加國5G競標,否則會影響美國對加國的情報分享

2019-11-25