| CloudSec | IoT | 物聯網安全

物聯網上雲要注意安全組態的配置是否得宜,趨勢科技呼籲開發人員應做好相關控管

利用雲端服務供應商提供的服務和工具,快速打造物聯網服務所需的平臺,已經是業界相關普遍的做法,但趨勢物聯網威脅研究員Shin Li指出,許多廠商疏忽開發安全,使得系統面臨了雲端配置不完善,讓攻擊者有機可乘

2019-08-22

| GitHub | WebAuthn | 雙因素驗證

GitHub使用者現可在更多平臺使用實體安全金鑰,作為第二身份驗證因素

GitHub服務擴大實體安全金鑰支援,在Windows、macOS和Linux上的Firefox和Chrome瀏覽器都能使用

2019-08-22

| Node.js套件管理工具 | npm | bb-builder

npm撤下含有可竊取登入憑證的bb-builder套件

基於bb-builder套件含有可竊取登入資訊的惡意程式碼,對此Node.js套件管理工具npm官方提醒任何安裝這款套件的用戶,都必須更換電腦存放的機密與金鑰以策安全

2019-08-22

| 漏洞 | Valve | 權限擴張 | Steam | 資安

研究人員再度揭露Steam的零時差漏洞

基於前起漏洞通報被Valve賞了閉門羹,讓這名研究人員決定不通知對方,逕行公開Steam第二起權限擴張漏洞細節與攻擊方法

2019-08-22

| 瀏覽器 | 哈薩克 | 根憑證 | 隱私 | 個資 | 監控

哈薩克政府發行會竊密的根憑證,遭各大瀏覽器聯手封鎖

Mozilla與Google的聲明指出,哈薩克民眾一旦安裝政府的根憑證,政府便能解密與讀取人民所輸入或張貼的內容,也能攔截帳號資訊及密碼

2019-08-22

| 俄羅斯駭客組織 | Silence | 惡意程式 | 木馬程式 | FlawedAmmyy | 金融業 | 資安

俄羅斯駭客組織攻擊全球30國銀行掠財,台灣為亞洲首要目標

今年有30多個國家金融機構的工作站,遭駭客組織Silence的惡意程式感染,這個組織也和今年6月一個跨洲感染遠端存取木馬程式有關

2019-08-22

| 機密運算 | Software Guard Extension | Intel | SGX | 微軟 | Open Enclave SDK | Red Hat Enarx

Google、微軟、英特爾、IBM 等合組機密運算聯盟,推動TEE技術及標準

機密運算將能確保記憶體處理加密資料時,不曝露於系統其他部分,同時提供用戶更大控管及透明治理能力

2019-08-22

| Cybersource | Visa | eCommerce Fraud | 電子商務詐欺

網釣問題是電商詐欺管理的最大挑戰,新一代3DS 2.0驗證成未來焦點

對於電子商務的詐欺管理,CyberSource今年已經調查了全球企業的現況,包含臺灣的103家業者,指出網路釣魚問題是詐欺管理的最大挑戰,另外也強調3D Secure 2.0驗證機制是未來詐欺管理的重要關鍵之一。

2019-08-21

| Go | HTTP/2 | 漏洞 | Kubernetes | K8s

被HTTP/2漏洞拖累,Kubernetes釋出安全更新

因為K8s採用的Go語言受到HTTP/2漏洞波及,K8s官方在Go完成修補更新後,同步釋出新版K8s

2019-08-21

| 蘋果 | Lightning | YubiKey | 硬體式安全金鑰

支援蘋果Lightning規格的YubiKey來了,售價70美元

YubiKey 5Ci是首款可支援iPhone及iPad的硬體式安全金鑰,除了Lightning介面外,還具備USB-C介面,可用於Mac、Windows和Android裝置

2019-08-21

| Chromium-based Edge | 漏洞獎勵 | 抓蟲

Chromium-based Edge上市前最後預覽版釋出,微軟提供最高3萬美元請大家抓蟲

用戶可以到Insider測試者網站下載Chromium-based Edge的官方Beta版,微軟也為此祭出最高3萬美元的抓漏獎金

2019-08-21

| iOS 12.4 | iOS | 越獄程式 | 蘋果 | 漏洞 | 資安

可支援iOS 12.4的免費越獄版問世

標榜專門打造iOS越獄程式的Pwn20wnd,之所以能這麼快就對新釋出的iOS 12.4下手,主要是因為蘋果曾在上一版修補的安全漏洞,又再度出現在這個新版iOS

2019-08-21