Instagram原本在雙因素驗證中使用簡訊驗證使用者的身份,未來將會新增第三方認證程式,藉由第三方程式提供的驗證碼充當第二層身份驗證。
2018-08-29
不負責爆料?研究人員揭露還沒有修補程式的Windows 工作排程器零時差漏洞
一名研究人員在沒有通報微軟下,徑行在推特上公佈了微軟Windows工作排程器上的本地權限擴張漏洞,並在GitHub公佈PoC攻擊程式,微軟預計在下個月的例行安全更新中修補。
2018-08-29
| ALRC | SandboxEscaper | CVE-2018-8440
前資安研究員在推特公開Windows未知漏洞,後續效應有待觀察
一名前漏洞研究員在推特上,公開揭露了她所發現的Windows作業系統未知漏洞,卻沒有通報給微軟,讓執行Windows 10與Windows Server 2016的電腦,可能因此暴露在這個弱點產生的風險中。
2018-08-29
Google發現Epic Games的熱門遊戲要塞英雄在三星裝置的遊戲安裝器,存在磁碟人(Man-in-the-disk,MITD)漏洞,在Epic Games完成修補後,隨即公開漏洞細節,此舉引來Epic Games執行長Tim Sweeney批評Google藉機報仇。
2018-08-28
上周三才修補Struts 2漏洞,概念性驗證攻擊程式周五就現身
Apache軟體基金會上周三才修補了Struts 2的漏洞(代號CVE-2018-11776),資安業者隨即在GitHub上已公開概念驗證攻擊程式,同時地下駭客論壇也熱烈討論如何開採漏洞。
2018-08-28
中小型企業忽視資料保存,採用外接USB裝置存放的現象仍相當普遍
小型企業對於公司的資料,往往缺乏妥善的保存措施,而USB儲存裝置相當容易取得、使用,便成為許多企業用來存放資料的方式,然而,這種做法,卻也面臨此類儲存裝置潛藏的問題,導致資料保存的危機。根據硬碟大廠Seagate的調查,即使是在歐美國家的中小企業,這種情況也相當常見,他們發現,在英國,竟有23%的中小型企業,仍採用USB外接裝置,做為存放公司資料的主要措施。
2018-08-28
| Chrome | Firefox | 賽門鐵克 | 憑證
Chrome與Firefox雙雙在今年10月將終止對賽門鐵克憑證的信賴
Mozilla已在這個月中釋出的Firefox 63 Nightly測試版中不再信賴所有賽門鐵克憑證,Firefox 63將在10月下旬推出。而預計在10月中旬釋出的Chrome 70也將採取相同政策。
2018-08-28
雲端MongoDB配置錯誤,意外讓OCR軟體ABBYY的20萬客戶掃描文件曝光
一名研究人員在AWS上發現一個未設密碼,開放公開存取的MongoDB資料庫,內含OCR軟體業者ABBYY大量的客戶資料,包括企業用戶名稱及加密密碼,以及客戶掃描的文件資料,部份可直接存取。
2018-08-28
媒體報導,西班牙央行-西班牙銀行遭到DoS阻斷服務攻擊,外傳發動攻擊者是為抗議政治人物遭監禁,該銀行網站至今仍未恢復正常。
2018-08-28
| CloudSec | Crypto-Currency Mining
電腦被遠端控制挖礦手法橫行,趨勢科技揭露新興挖礦的僵屍攻擊手法與現象
以僵屍網路(Botnet)發動攻擊,然後利用被害者電腦的運算資源挖礦(Crypto-Currency Mining),這樣的做法,有越來越多的情形。在今年的CloudSec大會上,趨勢科技威脅研究員謝銘晏發表了他對於上述新興攻擊手法的研究,分析這些僵屍攻擊的途徑與做法的變化。
2018-08-27
Android手機高權限AT命令不設防,駭客以USB就能覆寫韌體或解鎖螢幕
研究人員發現,即便Android裝置未啟用USB除錯功能,仍可以透過USB存取AT命令進行高權限動作,而且可能被用於藍芽或是基頻遠端攻擊。
2018-08-27