0516-0522 一定要看的资安新闻
#硬件漏洞 #推测执行 #旁路攻击
英特尔处理器又有旁路攻击漏洞,多家厂商提供修补程式
自2018年开始,处理器的推测执行(Speculative Execution)漏洞被发现后,研究人员持续不断找到可被滥用的变种攻击手法。今年的5月14日,英特尔揭露了4个可外泄机密资讯的处理器安全漏洞,这些漏洞衍生出ZombieLoad、RIDL,以及Fallout等多种攻击手法,皆由奥地利的格拉茨科技大学所发现。为此,Google、苹果、微软、红帽,以及AWS等IT业者,也一同加入修补的行列。
此次英特尔公告的漏洞分别是CVE-2018-12126、CVE-2018-12127、CVE-2018-12130,以及CVE-2019-11091。上述漏洞的共通点在于,它们都与推测执行技术有关,会在处理器展开推测执行时,让攻击者能够进行旁路攻击,外泄系统上的资讯。不过,微软与苹果都指出,若要更全面缓解漏洞,最好也关闭超执行绪(Hyper-Threading)。详全文
图片来源:格拉茨科技大学
#特权账号漏洞 #漏洞攻击
Windows XP存在远端桌面服务重大漏洞,微软再度推出修补程式
微软发布安全公告,指出Windows 7和Server 2008以下的版本,存在重大远端程式码执行漏洞,可能会引发类似WannaCry大规模感染的灾难,于是,他们再次针对Windows XP、Server 2003提供修补程式。
这个漏洞的编号为CVE-2019-0708,存在于旧版Windows远端桌面服务(RDS)中,可使未经授权的攻击者,利用远端桌面协定(RDP)存取目标系统,传送经改造过的呼叫程序。
微软也提到,使用者若启用网络层验证(NLA)机制,或许可缓解蠕虫程式与进阶威胁,但是如果攻击者取得有效帐密,仍可成功验证并于远端执行恶意程式码。因此,微软强烈建议用户应尽速安装修补程式。详全文
#资料外泄 #程式码安全
防毒软件程式码惊传外泄,3大业者遭点名
威胁情资公司Advanced Intelligence(AdvIntel)表示,他们发现名为Fxmsp的俄国骇客组织,自2019年3月起,开始在暗网里兜售从3间知名防毒软件公司窃取的资料,并声称里面含有这些公司的开发程式码,开价30万美元,后来,该公司的安全研究部门首长Yelisey Boguslavskiy向媒体揭露Fxmsp与卖家的对话,指出3家防毒软件公司,就是Symantec、趋势科技,以及McAfee。
对此,上述3家防毒业者接获AdvIntel的通报后,也都做出了回应。Symantec表示与AdvIntel确认后,旗下产品并未受到影响;趋势科技则指出内部测试环境曾遭到不当存取;至于McAfee仅表示,他们正在调查当中。详全文
图片来源:Advanced Intelligence
#凭证盗用 #中间人攻击 #国家级攻击
华硕网络硬盘服务遭中间人攻击散布后门程式
根据资安厂商ESET的发现,攻击者透过路由器做为跳板,并搭配中间人攻击(Man-in-the middle,MITM)手法,在电脑植入后门程式Plead,假冒为华硕网络硬盘WebStorage的应用程序,而且带有华硕合法的凭证。
Plead主要锁定台湾-单位和企业高层,最早由趋势科技发现,在2018年时,ESET发现骇客组织滥用D-Link与全景软件的凭证,签署并散布Plead。
先前于3月时,华硕电脑的更新服务Live Update传出ShadowHammer供应链攻击,被植入木马的应用程序便是使用合法凭证。事件爆发后,虽然该公司提供了检测工具,却因为继续使用遭窃的凭证,使得微软防毒软件视为含有恶意内容。华硕今年接连2次凭证被骇客滥用,显然该公司的资安意识与相关防护措施都有待提升。详全文
#硬件漏洞 #固件攻击
思科硬件安全模组TAm漏洞,将影响130款产品
为了保护固件不受窜改而影响设备运作,思科(Cisco)在网络设备上采用的安全开机机制“信任锚”(Trust Anchor Module,TAm),被资安公司Red Balloon Security发现漏洞,使得骇客可窜改固件,殃及所有部署TAm的思科设备,包含路由器、交换器,以及防火墙等。由于属于硬件设计漏洞,研究人员认为,很难借由软件修补来解决。
Red Balloon Security已于去年11月知会,思科也发表安全通报证实此事,并表示多达130款设备受到波及,已经逐步进行修补中。不过,截至目前为止,尚未出现滥用该漏洞的情况。详全文
图片来源:Red Balloon Security
#通讯软件漏洞 #漏洞滥用
WhatsApp已遭滥用的漏洞,脸书紧急修补
根据英国金融时报报导,骇客利用脸书旗下通讯软件WhatsApp的漏洞,在特定人士的手机上植入间谍程式Pegasus。这个编号为CVE-2019-3568的安全漏洞,脸书也紧急推出修补程式。
上述的漏洞攻击手法,目前仅知一名英国人权律师的行动装置受害,尚且无法估计真实的受灾规模,因此,全球15亿WhatsApp用户都是潜在的受害者,脸书呼吁应该赶紧更新软件。详全文
#国家级攻击
荷兰传出在电信网络上发现华为暗藏后门
美国针对华为下达一连串的封杀令后,欧洲各国开始观望,该品牌提供的设施是否潜藏资安风险,或是存在后门。根据荷兰人民报(De Volkskrant)报导,该国的情报与安全总局(AIVD)发现,在当地其中一家主要电信业者的网络中,华为埋藏了后门,可随意存取该公司的客户资料,很可能与中国-从事间谍活动有关。不过, 人民报并未表明他们的消息来源为何。
荷兰当地的3大电信业者也对此事表达立场──今年初刚并购完成的荷兰T-Mobile与Tele2指出,并不晓得AIVD正在调查此事;而荷兰皇家电信(KPN)与Vodafone拒绝回应。详全文
#账号填充攻击 #资料外泄
日本Uniqlo与GU网络商店用户遭受账号填充攻击
旗下拥有Uniqlo与GU知名服饰品牌的Fast Retailing指出,骇客在4月23日与5月10日期间,透过其他被骇网站的461,091个账号和密码,存取上述两个品牌的网络购物商城账号。Fast Retailing认为,骇客是透过其它服务的资料外泄事件取得用户凭证,言下之意与这两个平台的安全性无关。
Fast Retailing在5月10日得知异常存取情事,遂于13日停用这46万个账号,再通知用户重设密码。详全文
#资安产业发展
工研院举办国内外资安新创交流活动
为了协助台湾资安新创走向国际,在5月20日到21日,经济部工业局委由工研院,于南港展览馆举办交流活动,邀集国外专家,包含荷兰、英国,以及香港等国的资安专家与新创业者,与台湾业者进行交流,提升我国厂商的竞争优势。
这次的议程中,同时针对时下热门的3大数位科技领域──人工智能、物联网,以及区块链等,探讨所需面临的资安防护挑战。详全文
更多资安动态
●美欧联手破获以木马程式盗走1亿美元的跨国犯罪网络集团
●Titan蓝牙硬件Token传出安全漏洞,Google将免费换新
●华为被美国商务部列入禁止出口名单
●WordPress网站的安全漏洞有98%来自插件
●2016年遭中国骇客入侵,Teamviewer却未曾公开揭露
●Let's Encrypt释出开放凭证透明度日志系统Oak
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09