APP下载

资安一周第63期:PDF加密标准被发现有缺陷,无需密码可取得加密文件内容,数十款PDF阅读器都受影响

2019-10-10 02:46

1003-1009一定要看的资安新闻

 

#PDF漏洞 #PDFex

PDF加密标准含有缺陷,可让加密文件现形

图片来源/web-in-security.blogspot.com

几名德国的大学研究人员近日发表研究报告,指称PDF的加密标准含有缺陷,将让骇客得以取得加密文件内容,当中列出了Direct Exfiltration与CBC Gadgets两种类型的攻击形式,并说明他们了测试市面上的27款PDF阅读程式,都至少会被其中一种攻陷,这些程式涵盖了Adobe Acrobat、Foxit Reader、Okular、Evince、Nitro Reader,以及整合到Chrome、Firefox、Safari与Opera等浏览器的阅读工具。而这些存在于PDF加密标准的缺陷,他们统称为PDFex。更多内容

 

#软件安全 #视讯会议密码设定

视讯会议系统爆漏洞可让外人偷听,Cisco WebEx与Zoom都受影响

图片来源/撷取自Cequence Security

根据安全厂商Cequence Security及CQ Prime的揭露,部分视讯会议工具有列举攻击漏洞,包括Cisco WebEx Meetings、Zoom,可让攻击者发现并加入线上会议,可能导致敏感资料外泄。
虽然视讯会议普遍都有让会议主持人设定密码的功能,让与会者需要验证才能加入。但最近,上述两家资安业者揭露有自动化工具扫描视讯会议平台API的活动,可从系统API呼叫的回应找出有效会议ID,以及是否需要密码,并可加入未设密码的会议。思科在收到通报后,认为这是设定问题,不是漏洞,但仍对用户提出警告,Zoom则更新预设会议需设密码。更多内容

 

#网站安全 #HTTPS 

Chrome将逐步封锁HTTPS内嵌的HTTP下载内容

图片来源/Google

对于网页实行HTTPS加密的规定,Google宣布将更严格执行。从今年12月的Chrome79开始,为了安全,他们表示Chrome将逐步封锁HTTPS网页中,以HTTP下载的内容,包括影音及图片档、iFrame等,而在今年4月,他们即预告封锁的内容,像是可执行档及压缩档,在最新的公告下,Google宣布这项方案即将于明年实施。更多内容
 

#VPN安全

关于Pulse Secure、Palo Alto和Fortinet的VPN漏洞,英-提出APT攻击警讯与处置建议

图片来源/撷取自NCSC(点图放大)

英国国家网络安全中心(NCSC)发出警讯,提醒Pulse Secure、Palo Alto和Fortinet的VPN使用者,要注意所用的VPN,存在可被骇客用作APT攻击的漏洞,他们调查已有攻击行动扩及英国与国际组织,影响的部门很广,包括-、军事、学术、商业以及医疗保健。
因此他们建议,若组织有遭入侵的疑虑,应该撤销被盗走的凭证资料,防止攻击者利用这些凭证进行未经授权的存取;而确定遭到APT攻击者锁定的组织,应重新检查VPN的配置,包括SSH authorized_keys档案、新的iptables规则,同时在用户端上,应以配置备份还原这些设定。同时,他们也提醒,使用者应该为VPN服务启用双因素验证,以避免受到密码重送攻击,而且也应该禁用不需要或未使用的功能,以减少VPN被攻击面。更多内容

 

#勒索软件

今年美国有621个组织遭到勒索软件攻击,近8成为医疗服务供应商

图片来源/撷取自Emsisoft官方部落格

资安业者Emsisoft公布美国今年前三季的勒索软件调查报告,这份研究主要对象,包含了遭遇到勒索软件攻击的美国-机构、学区及医疗服务供应商,根据他们的统计结果,显示这9个月以来,至少有621个组织遭到勒索软件攻击。其中,容易跃上新闻版面的-机关有68个,只占十分之一左右,值得注意的是,受灾最严重的应该是健康医疗单位,因为在今年以来,该领域已遭遇491起勒索软件攻击,受害者包括:Park DuValle社区医疗保健中心、牙科诊所的云端备份供应商PerCSoft,以及怀俄明州坎培尔郡的公共卫生部门。更多内容

 

#勒索软件

FBI警告:勒索软件日益猖獗,不鼓励支付赎金

图片来源/撷取自FBI(点图放大)

美国联邦调查局(FBI)再度警告外界,要小心勒索软件的威胁,并指出勒索软件通常是借由3种管道入侵组织,包括:透过电子邮件展开网钓攻击,或是利用远端桌面协议(RDP)漏洞及软件漏洞。特别的是,FBI此次也提出了12项最佳防御措施供组织参考,包括:定期备份、培养及训练员工的安全意识、及时更新装置的软件/固件、限制档案及网络的存取权、关闭电子邮件中的Office档案宏能力、导入使用RDP的最佳实践、部署虚拟环境,以及将资料根据重要性分类并分别存放等。同时,他们也强调不鼓励受害者支付赎金,因为未必能取回资料,而且,一旦支付赎金,将让骇客知道这是个有利可图的商业模式。更多内容

 

#帐密安全

Chrome将加入密码外泄检查工具

年初Google,推出可主动通知用户密码外泄的Chrome扩充功能Password Checkup后,现在他们将此机制整合进Google账户中的密码管理员。
这项服务会侦测到使用者的用户账号和密码,若包含在40多亿笔外泄资料中,就会发出通知,同时还会检查用户将同一组密码重复用于多个网站中,以及用户使用的是太短、太简单的弱密码,提醒用户变更及强化密码。另外,Google也预告这项功能今年底之前,将直接内建在Chrome中,使密码外流的检查更方便。更多内容

 

#资安人才培育 #CTF竞赛

排名世界第一的台大Balsn CTF战队,自办首届Balsn CTF竞赛

为了提升各界对于资安的兴趣,积极举办CTF(抢旗攻防赛)比赛,一直是提升各界对资安兴趣的手段。在结合全球主要 CTF赛提供世界排名积分制度的CTF Time上,目前排名世界第一名的是台大Balsn战队,成立迄今5年,主要成员是台大Network Security Lab,以及许多对资安有热忱的学生,为了分享过往打比赛的经验,也希望可以引发更多人对资安的兴趣,他们举办Balsn第一届自办的CTF比赛,让大家可以和世界一流CTF战队交流。更多内容

 

#个资外泄

Booking.com疑似个资外泄非单一案例,近半年解除分期通报破千件

图片来源/刑事警察局

10月初,刑事警察局警告知名订房网Booking.com,疑似个资外泄,从今年5月起就陆续接获民众通报,已经连续21周警示于高风险卖场名单,远高于所有订房类型网站(今年1月~9月),并已有228人受骗,财损金额高达3,362万元。
对于近期值得注意的高风险卖场名单,我们也进一步询问内政部刑事警察局,该局预防科侦查员刘昭男表示,近半年来,自今年3月至9月底止,排行前五名是MKUP美珈(408件)、小三每日(310件)、读册生活(229件)、Booking.com(228件)与ANDEN HUD(89件)。不过,以上榜周数来看,Booking.com以21次最多,小三每日是15次、读册生活是13次,虽然Booking.com通报件数并非近半年最多,但用户遭诈骗的情况持续发生,引起警方关注,并呼吁社会大众注意。更多内容

 

#个资外泄

EZ订个资外泄客户遭骗判决出炉,在个资法赔偿外,业者并需负起7成过失责任

今年9月,一起关于EZ订(EZding)购票平台个资外泄的民事判决结果出炉,经过2年诉讼与审理,现在终于有了结果。案经一审判定,业者需依个资法赔偿民众2万元,之后又上诉,二审判定用户遭诈欺侵权行为的损害赔偿,也应付起7成责任,而最终裁定赔偿18万3,274元。而在这次判决结果当中,对于个资外泄及用户遭诈骗的损害赔偿的认定,院方对此案有更清楚的说明。例如,法院认为,原告张女已是具有相当智识的成年人,理应对此社会常见之诈骗犯罪行为产生警觉;被告富尔特公司虽抗辩尽到适当的安全防护与个资保护之责,但法院认定其网络平台之内部及外部风险控制存有诸多缺陷,并且未能完全落实其个人资料保护的管理。因此,认为张女应负担三成的过失责任,富尔特公司应负担七成的过失责任。更多内容

 

更多资安动态
●微软再发布IE漏洞例外修补程式,所有版本都要安装
●新西兰初级卫生组织Tū Ora遭骇客入侵,外泄100万名用户资料
●线上客服系统Zendesk三年前被骇直到现在才发现,近万名使用者资料外泄
●资安研究人员发现低成本的僵尸网络MasterMana
●可在华为Mate 30手机安装Google行动服务的操作,被台湾研究人员揭露后下架,并研判华为知情且默许
●DNS-Over-HTTPS弊大于利?荷兰国家网络安全中心与亚太网络资讯中心相继提出警告
 

相关文章

最新资讯

  • IBM驳斥谷歌量子霸权主张:夸大量子计算性能,…
    2019-10-22 12:54
  • GNOME基金会专利诉讼案:不会屈服,拒绝和解
    2019-10-22 12:54
  • 浙江阿拉丁电子商务有限公司受邀参加第九届数…
    2019-10-22 11:56
  • 代号2020“轰九”登陆 老车主期待早日服役
    2019-10-22 11:53
  • 银联正式发布“刷脸付”产品,补贴战一触即发
    2019-10-22 10:53

手机

  • Pixel 4被抱怨影片录制仅支援4K、30fps规格 Google表示画质和储存空间更重要
    2019-10-22 09:49
  • 联手 Yahoo / Verizon Media 中华电信宣示发展 5G 影音娱乐内容
    2019-10-22 07:48
  • Pixel 4都不能免费以原图储存在Google相簿上 为什么 iPhone 竟可以免费?Google表示:是Bug
    2019-10-21 16:48
  • HTC推出平价版 EXODUS 1s区块链手机 价格新台币5,990 元
    2019-10-21 15:47
  • 承诺解决 Pixel 4 闭眼解锁漏洞 Google 将在几个月内修正让你可以安心睡觉
    2019-10-21 13:48

数码

  • 小米10什么时候出来 屏下摄像头新机曝前置两个镜头
    2019-10-22 12:51
  • 蔡司ZX1相机硬件参数镜头规则详情 售价约29700元
    2019-10-22 12:51
  • 音乐爱好者的福音,Baseus倍思推出多款音频设…
    2019-10-22 11:58
  • 你家的WiFi升级了吗? 上京东满足你的飚速网络…
    2019-10-22 11:58
  • 乐视414电商节 21.7亿 电视38.6万手机44.7…
    2019-02-20 07:45

科技

  • 软银拟接管WeWork控制权 公司估值暴降至80亿美元
    2019-10-22 12:50
  • 优化引爆增长——2019MADCon中国互联网优化大会成功举办
    2019-10-22 12:50
  • 木匠黄章的故事才刚刚开始 魅族16确实值得期待
    2018-07-23 13:31
  • 32GB的iPhone7plus经常提示储存空间不够用要怎么办才好?
    2018-07-23 13:31
  • 即使亏损 B站也要把上万人线下活动开到北京 为什么?
    2018-07-23 13:31