0411-0417一定要看的资安新闻
#电子邮件标准安全
SMTP不够安全,Gmail开始采用MTA-STS标准以验证连线
Google宣布Gmail开始采用新的MTA-STS以及SMTP TLS Reporting标准,强化电子邮件安全性,并在4月10日开始进行Beta测试。
以采用MTA-STS技术而言,邮件服务器会要求外部邮件服务器发送讯息,验证SMTP连线是否使用有效的公共凭证,以及使用TLS 1.2或更高版本进行加密:而TLS Reporting将让邮件服务器可以向外部邮件服务器请求报告,以了解外部邮件服务器以MTA-STS政策发送信件,成功与否的资讯。不像只使用SMTP协定,则很容易遭受中间人攻击,使用者电子邮件可能在未被发现的情况下,于两个服务器间传输被拦截,并且遭到窜改。更多内容
#资料外泄 #饭店业
赛门铁克:近七成饭店网站泄露住客个资
图片来源/赛门铁克
赛门铁克首席威胁研究员Candid Wueest在浏览饭店网站时,发现到一些问题可能导致住客的个资外泄,随后他针对54个国家、超过1500间饭店网站进行测试,结果发现,当中有三分之二的饭店网站,不慎将住客订房代码,泄露给广告商或分析公司等第三方网站。
至于个资外泄的原因,主要问题出在系统设计上。研究人员发现测试的网站中,有57%会传送确认电子邮件给顾客,当中包含了可直接连回订房记录的网页URL,而此静态连结会将住客订房代号和Email信箱附在URL后方成为函式值,其中,还有29%的饭店未加密邮件中的URL。这可能让攻击者拦截到邮件,或透过HTTP呼叫中的参照栏,间接分享给第三方网站。更多内容
#网站安全 #WordPress插件漏洞 #责任揭露问题
不满WordPress支援论坛版主的行为,安全研究人员连续公布3个WordPress插件漏洞
有安全研究人员最近借由Plugin Vulnerabilities平台,连续对外公布3个WordPress插件的零时差漏洞,陷逾10万个WordPress网站于安全风险中。值得注意的是,此次研究人员不遵循责任揭露的漏洞公布事件,是为了抗议WordPress支援论坛版的版主行为而起,其中Social Warfare的漏洞公布后,开发人员已经及时修补,但有两支Wordpress插件──Yuzo Related Posts与Yellow Pencil Visual Theme Customizer的漏洞在公布后,已造成攻击发生,因此在WordPress插件商店下架,且开发人员还建议用户应尽快将所安装的版本移除。更多内容
#邮件安全 #网钓邮件
25%的网钓邮件可以躲过Office 365内建的安全机制
图片来源/Avanan
云端安全业者Avanan在最近公布的全球网钓邮件报告中指出,他们扫描了5,550万封寄至Office 365及G Suite的电子邮件,平均每99封电子邮件中,就找到1封网钓邮件。而在他们侦测的65万多封网钓邮件中,有高达50.7%的网钓邮件含有恶意程式,有40.9%是为了窃取使用者凭证,另有8%目的是勒索,0.4%为鱼叉式网钓。
对于寄到Office 365的电子邮件,Avanan该公司也特别分析,他们发现有25%的网钓邮件,能够躲过Office 365内建的Exchange Online Protection(EOP)安全机制,而采用的手法上,包过将恶意网址拆分,或者是以畸型的邮件形式及附加档案,让EOP无法识别。更多内容
#无线网络安全 #WPA3
研究人员揭露Wi-Fi WPA3标准的多个重大漏洞
Wi-Fi联盟去年发表了WPA3的Wi-Fi无线网络加密通讯标准,最近,纽约大学阿布扎比分校的Mathy Vanhoef与以色列台拉维夫大学的Eyal Ronen联手,揭露WPA3的多个重大漏洞。根据他们的说明,WPA3的优点之一是以Dragonfly交握取代了WPA2的4向交握,让骇客更难破解网络密码,但他们发现锁定Dragonfly密码编码方式的许多漏洞或攻击型态,可以在一定距离内让骇客取得Wi-Fi网络的密码,因此,也被外界称为Dragonblood漏洞。幸好目前WPA3尚未普及,且Wi-Fi联盟也已释出了修补程式。更多内容
#网站登入安全 #FIDO2 #Google
Google将让Android 7以上手机当2FA安全金钥
图片来源/撷取自Google网站
Google在Cloud Next大会上宣布,凡是搭载Android 7.0以上操作系统的手机,在更新Google Play Services后,将可作为安全登入Google账号或企业用Google Cloud账号的双因素验证(2FA)安全金钥。目前可预设以Android手机登入的服务是Google Account、Google Cloud、Gmail、G Suite等。另外,Google也建议使用者另外注册备份用的硬件金钥,以免手机遗失。更多内容
#VPN程式漏洞
多款企业等级的VPN应用允许骇客绕过身份认证,思科、Palo Alto Networks及Pulse Secure被点名
图片来源/撷取自kb.cert.org
美国电脑网络危机处理暨协调中心(CERT/CC)上周指出,有多家业者所开发的虚拟私人网络(VPN)含有安全漏洞,将允许骇客绕过身份认证机制,存取使用者的应用服务,被点名的业者与产品包括Palo Alto Networks的GlobalProtect Agent、Pulse Secure的 Connect Secure、思科的AnyConnect,以及F5 Networks。截至4月15日,Palo Alto与Pulse Secure已完成修补。更多内容
#网络治理 #ICANN
全球网络治理倡议多重利害关系人共同参与的概念,台湾近年IPv6成长幅度第一亦成为焦点
图片来源/TWNIC
由ICANN与TWNIC共同举办的合作交流论坛(ICANN APAC-TWNIC Engagement Forum),4月16、17日在台举行,并邀请APNIC、NCC的代表参与,让台湾与国际网络治理的专家,能共同讨论全球网络议题。
在这次会议中,谈及网络上可搜寻内容的管理,以及杜绝假消息、网络罢凌等,同时也指出捍卫言论自由的重要性,并强调需建立一个多利害关系人共同参与的安全、开放、全球互连互联网环境。此外,欧盟GDPR的要求为WHOIS服务带来的冲击,但两者精神背道而驰,需制订新的政策因应,ICANN表示已启动第一阶段的讨论。另外,还有像是IPv6、DNSSEC、中文网域与网络内容的管控,并提及台湾在网络治理、DNS资安防护以及IPv6普及的推动,值得一提的是,TWNIC也指出台湾在IPv6的成长速度是近年全球最快,排名已升至全球第11。更多内容
#工控资安 #开放实测场域
促进台湾资安工控技术能量,公布第三次关键基础设施资安防护场域实测计划
为促进台湾的关键基础设施资安产业发展,协助国内资安厂商快速累积工控安全技术能量,由经济部工业局委托资策会办理的“关键基础设施资安防护场域实测”厂商甄选,在4月15日,资策会正式对外发出公告。这样的计划在前两年分别执行过一次,今年是第三次,将延续去年开放国营水、电、油厂的方式,在不影响服务正常运作、不直接接触工控设备,以及搜集之资料不外传的3项原则下,征选业者进行实测。较特别的是,今年这些场域的开放实测时间,要比去年更长,从一个星期变成一个月,便于业者搜集更多例行与突发事件的资料变化。更多内容
更多资安动态
AdBlock Plus广告过滤外挂漏洞可被执行恶意程式码
微软客服人员遭骇,致部分Outlook.com邮件用户账号资讯外泄
Google Chrome计划封锁HTTPS网页下的不安全HTTP下载
Windows安全修补造成跑部分防毒软件的Windows 7 PC、Server 2012当机或无法重开机
微软Patch Tuesday修补两个已被开采的Windows漏洞
Google新推出多种身份验证与存取控制功能,助企业部署零信任安全架构
你的GPS装置显示时间正确吗?如果一切正常,恭喜你安然渡过GPS的时间重置
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09