安全廠商Wiz發現,從去年9月至今,上萬個面向中國用戶的網站被不明組織駭入劫持,其面向用戶的網頁被植入竊密程式碼
2023-03-06
| Booking.com | OAuth | 臉書
安全研究人員發現Booking.com的OAuth實作上存在缺陷,惡意攻擊者只要結合網站上的開放重定向漏洞,就可以竊取受害者的憑證並接管其帳號
2023-03-05
| 資安日報
【資安日報】3月3日,中國駭客組織TA416針對臺灣政府機關而來、APT41鎖定亞洲材料業者下手
中國駭客組織TA416利用後門程式MQsTTang,攻擊臺灣政府機關;針對材料產業的攻擊行動再度傳出,中國駭客組織APT41鎖定亞洲企業下手
2023-03-03
| CVE-2023-1017 | CVE-2023-1018 | TPM 2.0 | 安全漏洞
信賴平臺模組TPM2.0的參考實作程式碼有2個記憶體毁損漏洞,可造成裝置機密資料外洩,或被駭客升級權限而執行惡意程式碼
2023-03-03
| 資安日報
【資安日報】3月2日,惡意軟體BlackLotus繞過UEFI安全開機、勒索軟體LockBit鎖定西班牙語用戶而來
有資安業者提出警告,UEFI惡意啟動程式BlackLotus具有強大的攻擊能力,且能繞過Windows各式防護措施;勒索軟體LockBit針對使用特定語言的使用者而來,但值得留意的是,駭客運用了多種合法應用程式來規避偵測
2023-03-02
| Google Workspace | 用戶端加密 | client-side encryption | CSE
Google Gmail、行事曆用戶端加密正式推向全球Google Workspace企業及教育用戶
Google強調用戶端加密(CSE)功能擴及Workspace,能降低企業及公部門用戶法遵負擔,確保任何第三方都無法存取用戶的機密資料
2023-03-02
| 資安日報
【資安日報】3月1日,駭客假借Amazon Prime會員名義發動網釣攻擊、應用程式框架ZK Framework漏洞被用於攻擊行動
有人假借Amazon Prime會員到期、信用卡扣款失敗的名義,一步步騙取目標的個資及信用卡資料;美國CISA針對應用程式框架ZK Framework的漏洞CVE-2022-36537提出警告,並指出已出現攻擊行動
2023-03-01
LastPass指出,駭客在第一波攻擊成功入侵LastPass的雲端儲存環境後,為了取得AWS存取金鑰及LastPass產生的解密金鑰,再利用第三方軟體套件漏洞,成功入侵該公司一名擁有解密金鑰的DevOps工程師私人電腦
2023-03-01
| SynSaber | CISA | ICS Advisories | OT安全 | CVE | ICS漏洞
工業控制系統漏洞數量持續增長,美國CISA頻頻發布漏洞通告示警,平均每天都有一則
解析2020到2022年的CISA的ICS漏洞通告與CVE漏洞,工控網路安全公司SynSaber今年初發布一份產業CVE追蹤報告,當中指出拖延修補與老舊產品漏洞的問題,以及韌體與協定漏洞其比例占四成,修補難度較高
2023-03-01
