0815-0821一定要看的資安新聞

 

#系統安全 #Webmin漏洞

Unix管理工具Webmin爆有遠端程式碼執行漏洞

圖片來源/Özkan Mustafa Akkuş

廣受歡迎的Unix/Lunix伺服器網頁化管理工具Webmin,近日被土耳其安全研究人員Özkan Mustafa Akkuş發現,有遠端程式碼執行RCE漏洞,可讓遠端駭客以根權限執行惡意指令。

這個編號CVE-2019-15107的漏洞,影響1.920版本以前的Webmin,它存在password_change.cgi元件中一段程式碼中,已經被列為重大漏洞。簡單來說,許多Webmin管理員都會開啟「user password change」的功能,讓使用者可以重設過期舊密碼。但研究人員發現,只要在傳送的指令參數中包含old引數(Argument),不論輸入資訊是否正確,該元件看到old就會驗證通過,進而將可控制執行Webmin的Unix、Linux伺服器。近日Webmin維護團隊已經修補,並發布1.930版本。更多內容

 

#個資安全 #保全業者資料庫

保全公司雲端平臺漏洞,讓千萬用戶指紋、人臉及個資曝險

圖片來源/vpnMentor

全球前50大保全業者Suprema,該公司的生物辨識雲端平臺被發現含有漏洞。基本上,他們的BioStar 2智慧門鎖平臺,可提供管理員各大樓、廠房的進出控管、管理用戶權限、存取人員活動記錄,並利用臉部辨識及指紋辨識資料來比對人員身分。但安全公司vpnMentor研究人員發現,該平臺有多項漏洞,讓他們得以搜尋並存取多個具有大批敏感資訊的資料檔案,其中有超過100萬人的指紋、人臉辨識資訊、未加密的用戶名稱、密碼、手機及OS、以及住家地址、公司組織架構、員工職稱,總數超過2780萬筆記錄,共23GB資料。

而這些被公開於網路上的個資,也波及了全球企業,包括美國、英國、德國、日本及東南亞等地,研究人員指出,BioStar2平臺全球安裝數超過150萬,影響員工可能上看數千萬人。更多內容

 

#Windows

CTF協定權限升級漏洞,可造成Windows XP以後電腦被接管,用記事本就能攻擊

圖片來源/Goolge Project Zero

最近,Google Project Zero揭露從Windows XP時代就存在的CTF協定漏洞,可使電腦被攻擊者接管,而微軟在接獲通報後,已經在這個月的Patch Tuesday安全更新中,發布修補程式。

這項編號CVE-2019-1162的漏洞,存在於Windows的 CTextFramework(CTF)元件中,主要因為Windows進階本機程序呼叫(ALPC)處理不當造成。發現這次漏洞的研究人員Ormandy解釋,當Windows應用程式開啟時,就會同時啟動對應的CTF用戶端軟體,接著,從Windows的CTF服務接收關於鍵盤配置或輸入法的指令,兩者間的連線並沒有任何驗證或控管機制。更多內容

 

#線上帳密安全

Google:1.5%網站用戶使用已外洩的憑證來登入

圖片來源/Goolge

今年2月,Google發表了Chrome擴充程式Password Checkup,可在使用者以遭駭憑證登入網站時跳出通知,本周Google公布了該擴充程式上線一個月之後的成果。

根據Google的統計,有65萬名Chrome用戶下載Password Checkup並參與該實驗,在一個月裡,他們總計掃描了2,100萬個使用者名稱與密碼,並有31.6萬組曾出現在外洩資料庫中,代表當中有1.5%的憑證是不安全的,也就是使用已外洩的憑證來登入各式網站。同時Google也分析,使用者重覆利用遭外洩憑證的狀況,因所造訪的網站而有所不同。例如,在政府網站使用外洩帳密的比例只有0.2%,在金融網站有0.3%,在購物網站有1.2%,在新聞網站為1.9%,但在娛樂網站上使用這些外洩憑證的比例,則高達6.3%。更多內容

 

#隱私漏洞 #卡巴斯基

卡巴斯基防毒軟體含有可能的隱私漏洞使得用戶被追蹤

德國電腦雜誌c't本周披露,Winodws版的卡巴斯基防毒軟體暗藏隱私漏洞,可供網站追蹤用戶行為。該雜誌一名安裝了卡巴斯基防毒軟體的編輯Ronald Eikenberg,意外在某個所造訪網站的程式碼中,看到來自卡巴斯基的JavaScript程式,檢驗後發現它的作用是卡巴斯基用來賦予每臺電腦的ID。因此,只要能讀取Kaspersky ID的網站,就能利用該ID來追蹤使用者行為,可得知該名使用者是否曾造訪過該站,就算在無痕模式,也會被追蹤,因此,有可能遭到行銷人員或駭客的濫用。目前,卡巴斯基在今年7月修補,並將原本每臺電腦都具備的ID改成產品ID,使網站無法再辨識個別的用戶。更多內容

 

#Windows安全更新 #賽門鐵克

#賽門鐵克防毒軟體和Windows SHA-2不相容,微軟暫停更新

微軟近日釋出的Patch Tuesday每月更新,發生與賽門鐵克或諾頓防毒軟體不相容的情況。根據微軟表示,問題是發生在KB4512486安全更新。當安裝了任何賽門鐵克端點防護、或諾頓防毒軟體的Windows 7及Server 2008 R2電腦,要下載只以SHA-2簽章的更新時,更新版本會遭到防毒軟體的封鎖或刪除,導致Windows電腦無法運作或無法啟動。目前,微軟已經暫時撤回更新,等修復後,將重新發布。更多內容

 

#藍牙漏洞

KNOB藍牙漏洞可弱化加密效果,將導致裝置通訊內容外洩、被竄改

圖片來源/擷取自Bluetooth SIG

最近有一個關於藍牙標準的安全漏洞被揭露,是由新加坡科技設計大學、劍橋大學及IT安全、隱私與責任中心研究人員共同發現。這個漏洞,被研究團隊稱為KNOB(Key Negotiation of Bluetooth),CVE編號為CVE-2019-9506,是評分為7.8分的高風險漏洞,與Bluetooth BR/EDR連線加密有關。

當兩臺藍牙裝置建立連線時,會經由金鑰協商過程產生一把加密金鑰,但研究人員發現,遠端攻擊者可在不知兩臺裝置連線或金鑰情況下,干擾這個建立BR/EDR連線加密的程序,來降低金鑰的長度或熵值(entropy)。目前藍牙技術聯盟已經證實該漏洞,雖然目前還沒有遭成功利用的案例,但聯盟已經更新核心規格,建議硬體製造商對於Bluetooth BR/EDR連線的加密金鑰長度,需在7 octet以上。更多內容

 

#假訊息 #國家安全

防假訊息影響臺灣大選與國安,調查局成立假訊息防制中心

圖片來源/擷取自法務部調查局

言論自由是民主政治的基石,但隨著網路科技與社群媒體的發展,散布錯誤不實訊息現象日益嚴重,已經成為各國關注焦點與挑戰。隨著臺灣總統、立委「二合一選舉」將在明年1月登場,我國法務部調查局在8月中旬宣布,除了之前成立的「二合一選舉查察專案」、「影響國安選舉假訊息處理小組」,為了提升案件調查能量,在8月8日,法務部更是新成立「假訊息防制中心」,將結合調查局資通安全處電腦偵辦科、資安鑑識科的人員,並從外勤機動站抽調專業調查官,以及統合六都調查處資安區域專責小組,共組團隊以執行假訊息的溯源偵辦,以維護國家安全及公平選舉。更多內容

 

#Virus Check

臺灣本土惡意檔案檢測服務Virus Check開放民眾使用

圖片來源/擷取自Virus Check網站

對於線上的免費惡意檔案檢測服務,多數人應該都會想到VirusTotal,現在,使用者將多了一個可利用的管道,而且是臺灣本土的服務,那就是由台灣電腦網路危機處理暨協調中心(TWCERT/CC),今年7月中旬開始上線營運,對外開放免費使用的Virus Check,網址是https://viruscheck.tw/。特別的是,Virus Check不只運用了靜態分析,還會透過沙箱進行動態分析,並將兩種分析結果將同時且互補地檢驗,做到更好的檢測成效。更多內容
 

更多資安動態
臉書Zoncolan除錯平台可在30分鐘內偵測逾1億行程式
洩露Capital One上億個資的員工,同時也竊取了30多家企業資料
報導:華為協助烏干達政府竊聽政敵通訊
超過20個位於美國德州的政府機構遭到勒索軟體攻擊
研究人員打造可偵測信用卡側錄裝置的Bluetana程式
靠AI扮演壞人來練兵!SAS揭露用GAN設計金融防詐欺模型的新作法
Google欲將HTTPS憑證縮短到1年

 


Advertisement

更多 iThome相關內容