圖片來源: 

Victor Gevers

0227-0306 一定要看的資安新聞

 

#隱私疑慮  #雙因素驗證  #個資濫用

臉書雙因素驗證手機號碼可用來肉搜用戶,而且關不掉

臉書不時提醒用戶,輸入手機號碼啟動雙因素驗證(2FA)機制,帳號安全就能多一份保障,但研究人員Jeremy Burge在推特揭露,一旦用戶輸入電話號碼,反而可被其他人搜尋,而且功能還無法關閉。

這已經不是臉書第一次傳出濫用2FA個資。2018年初,許多用戶反映,在輸入2FA電話號碼後,收到一堆廣告及垃圾訊息,當時臉書還辯稱是臭蟲所致。結果同年9月,研究學者指出,臉書的確將用戶提供身分驗證的電話號碼,提供給外部廣告主,藉此發送精準廣告。詳全文

 

#Spectre  #Retpoline  #漏洞攻擊

微軟釋出Spectre v2修補程式給Win 10 1809用戶

繼去年秋天預告後,微軟終於針對部署1809版Windows 10電腦,推出包含Spectre變種2修補工具Retpoline的更新軟體。由於變更內容極為複雜,目前只在上述版本與即將推出的19H1中,啟動這個修補程式,接下來幾個月內,微軟將陸續部署Retpoline到其他舊版作業系統。

不過,一些用戶安裝KB 4482887後,反映出現IE 11驗證問題。舉例來說,當兩人以上同時使用相同帳號,並登入同一臺Windows Server,將會導致無法順利載入網頁、帳密輸入對話視窗,還有檔案下載問題等徵狀。微軟目前正在解決該問題,並於日後釋出更新。詳全文

 

#HTTP  #漏洞攻擊

已遭駭客濫用,Adobe緊急修補ColdFusion漏洞

Adobe於3月1日,針對旗下的網路應用程式快速開發平臺ColdFusion,緊急修補遭到駭客濫用的漏洞,此編號為CVE-2019-7816的安全漏洞,將允許駭客執行任意程式,被列為重大等級,該公司呼籲用戶應儘快修補。

根據他們的公告,此漏洞允許駭客繞過上傳檔案的限制,將惡意軟體上傳到網路伺服器,再透過HTTP連線執行。該漏洞影響ColdFusion 11、ColdFusion 2016與ColdFusion 2018,若無法立即更新的用戶,可限制對上傳檔案儲存目錄的請求,以降低攻擊威脅。詳全文

(圖片來源)Adobe

 

#物聯網裝置攻擊  #漏洞攻擊

多款防火牆路由器出現重大RCE漏洞,思科推出修補軟體

思科發布安全更新公告,修補數款VPN路由器設備的遠端程式碼執行(RCE)漏洞。

該公司指出,下列產品的網頁管理介面中,內含CVE-2019-1663漏洞:RV110W Wireless-N VPN Firewall、RV130W Wireless-N Multifunction VPN Router,以及RV215W Wireless-N VPN Router。

這項弱點的存在,能讓攻擊者傳送惡意HTTP流量,進而駭入目標裝置,得手後便能以管理員權限,在底層作業系統執行任意程式碼。該漏洞CVSS 3.0 評為9.8分,屬於重大風險等級。詳全文

 

#函式庫漏洞  #Docker

前十大Docker映像檔都存在至少30個漏洞

資安公司Snyk發表2019年開源安全報告,他們掃描Docker Hub中10個最受歡迎的Docker映像檔後,發現每一個都包含了存在許多漏洞的函式庫。Snyk指出,以官方Node.js映像檔而言,就內含580個易受攻擊的系統函式庫,而漏洞最少的Ubuntu,也被檢測出30個已知漏洞。

該公司也提到,根據分析用戶執行掃描的結果,44%存在漏洞的Docker映像檔,已有更新後變得更安全的基礎映像檔可用,開發人員只需要升級就能修補漏洞,而22%存在已知漏洞的Docker映像檔,只要重新建置,便可減少漏洞數量。詳全文

(圖片來源)Snyk

 

#硬體漏洞  #公有雲安全

Supermicro主機板元件驚傳漏洞,可能導致裸機運算服務被植入後門

:Eclypsium研究人員指出,伺服器廠商美商超微(Supermicro)的主機板上,所嵌入的基板管理控制器(BMC)硬體元件存在漏洞,可能讓IBM或其他雲端服務被植入後門,使攻擊者得以竊取企業客戶資料、植入惡意程式,或發動阻斷服務攻擊。

為了證實超微主機板的BMC漏洞,該資安公司透過採用Supermicro伺服器的IBM SoftLayer裸機服務,進行概念驗證攻擊。但研究人員表示,他們的研究是要突顯公有雲環境安全風險,並非代表IBM特別不安全──因為,SoftLayer同時採用其他品牌的伺服器,而其他廠商的公有雲服務之中,也可能使用超微伺服器。

在2月25日,IBM也在其PSIRT部落格發表聲明指出,已經針對此次漏洞進行處理,會強制把所有BMC韌體的日誌刪除,並重設所有BMC韌體的密碼,目前尚未發現漏洞遭到利用。詳全文

 

#硬體漏洞  #Thunderbolt

Thunderclap漏洞允許周邊裝置竊取記憶體機密資訊

來自劍橋大學、萊斯大學與史丹佛國際研究院(SRI International)的研究人員,公布Thunderbolt介面安全性的研究報告,藉由惡意的Thunderbolt周邊裝置,針對作業系統的輸入與輸出記憶體管理單元(IOMMU),開採漏洞,宣稱幾秒內就可攻陷目標系統,允許駭客以最高權限執行任意程式,或是執行直接記憶體存取(DMA)攻擊,存取記憶體中所存放的密碼、銀行憑證或加密金鑰等。

其實早在2016年,研究人員就向相關廠商揭露,其中,蘋果已解決特定網路卡問題;微軟在去年釋出的Windows 10 1803中,針對Thunderbolt裝置提供IOMMU支援;英特爾則替Linux Kernel 5.0貢獻了修補程式。但這些業者的修補,並未解決所有問題,目前最好的建議,還是避免連接來路不明的Thunderbolt裝置。詳全文

 

#資料外洩  #隱私監控

用來存放中國監控民眾資料的MongoDB資料庫遭到曝光

中國政府監控民眾網路行為的政策,幾乎舉世皆知。日前,資安研究人員Victor Gevers揭露了可公開存取、存放著中國監控民眾證據的資料庫,進一步向外界展示中國的監控規模。

在上個月時,Gevers已經揭露兩個可公開存取的中國監控MongoDB資料庫,一個是存放新疆維吾爾自治區的260萬名民眾監控資料,另一個則是存放超速及闖紅燈的數百萬輛汽車違規照片與車牌資料。詳全文

(圖片來源)Victor Gevers

 

更多資安動態

年僅19歲漏洞獵人成為HackerOne首名百萬賞金駭客
購買假評價的Amazon商家以支付天價罰款與FTC和解
泰國通過允許存取上網用戶資料的網路安全法案
W3C宣布WebAuthn成為正式標準
不當蒐集兒童個資,抖音以570萬美元與FTC和解

熱門新聞

Advertisement