針對兩個月前修補的VMware vCenter漏洞CVE-2024-38812、CVE-2024-38813,本週博通提出警告,表示這些漏洞已被用於實際攻擊行動
新聞 | GitHub | 程式碼注入 | Dependabot
資安研究人員發現攻擊者竊取開發者GitHub個人存取權杖,並利用GitHub自動化工具Dependabot,大規模向公開與私人GitHub儲存庫注入惡意程式碼
2023-10-05
新聞 | SharePoint | Pwn2Own Vancouver 2023 | Pwn2Own
微軟SharePoint今年上半被挖出身分驗證繞過漏洞,有廠商發展出概念驗證程式,進一步證實可行性
研究人員揭露微軟SharePoint預先身分驗證漏洞攻擊鏈的細節,指出由2個漏洞組成,串連後攻擊者有機會發動遠端執行任意程式碼(RCE)攻擊
2023-10-04
新聞 | BIND | BIND 9 | DNS-over-TLS
網際網路系統協會(ISC)於9月20日,發布DNS軟體BIND更新版本9.16.44、9.18.19、9.19.17,修補2個高風險漏洞
2023-10-04
【資安日報】10月4日,求職網站Indeed被駭客用於網路釣魚攻擊,鎖定高階主管竊取Microsoft 365帳號
資安業者Menlo Security發現,駭客利用EvilProxy網釣攻擊套件,發動了對手中間人攻擊(AiTM),過程中,濫用求職平臺Indeed的網址放任重新導向弱點(Open Redirect Vulnerability),而得以繞過資安系統偵測
2023-10-04
新聞 | 零時差漏洞 | 微軟 | Chromium | CVE-2023-4863 | CVE-2023-5217
微軟更新Edge、Teams及Skype,以修補源自Chromium的零時差漏洞
Google在9月間修補的二項零時差漏洞,除了影響Microsoft Edge在內基於Chromium開源專案的瀏覽器,也同時波及桌面版Microsoft Teams與Skype,以及微軟透過Microsoft Store所提供的Webp Image Extensions程式
2023-10-04
新聞 | PyTorch | TorchServe | 安全漏洞 | ShellTorch | CVE-2023-43654 | CVE-2022-1471
資安業者揭露可摧毀PyTorch基礎設施的TorchServe漏洞
Oligo公布PyTorch開源套件TorchServe安全漏洞,將允許駭客注入惡意的AI模型,甚至接管整個伺服器
2023-10-04
新聞 | AWS | Amplify | TypeScript | Next.js
AWS推出最新Amplify JavaScript函式庫,增強Typescript、Next.js支援改善開發體驗
Amplify JavaScript函式庫第6版最佳化了同捆包的容量,以及對TypeScript與Next.js的支援度,提高了應用程式載入速度,並改善基於函式的開發體驗
2023-10-04