| Fortinet | SSL VPN | CVE-2022-4247 | 安全漏洞
針對去年12月修補的SSL VPN重大零時差漏洞CVE-2022-42475,Fortinet公布駭客利用這項漏洞入侵政府機關及相關單位的手法
2023-01-16
| AWS | 容器服務 | Amazon Elastic Container Registry | ECR | 安全漏洞
AWS修補了可被用以發動DoS、資料外洩的容器映像檔服務漏洞
安全廠商Lightspin在ECR Public Gallery的主要JavaScript檔案中,發現一組未記載但有效的API actions,可讓攻擊者刪除其他AWS帳號名下的ECR映像檔,或上傳、新增惡意映像檔,進而發動阻斷服務等攻擊
2022-12-14
| Pulse Connect | VPN | CISA | 安全漏洞 | CVE-2021-22893
超過4,000個有漏洞的Pulse Connect VPN設備曝露於網際網路
廣受遠端辦公室和行動用戶青睞的Pulse Connect Secure,其伺服器軟體陸續爆出多個安全漏洞,名列美國CISA已知遭利用漏洞清單
2022-12-12
| Fortinet | CVE-2022-40684 | 安全漏洞
資安業者Cyble發現有人在地下論壇銷售存取Fortinet VPN裝置的憑證資訊,並研判張貼廣告的攻擊者應是針對Fortinet於10月間修補的CVE-2022-40684發動攻擊
2022-11-30
日前AWS修補了AppSync一個能使攻擊者冒充其他AWS租戶身分,並使用或入侵他人AWS資源的「混淆代理人」漏洞
2022-11-28
| Mali GPU | ARM | 安全漏洞 | CVE-2022-33917 | CVE-2022-36449
Mali GPU漏洞沒人要補,Google Project Zero呼籲手機製造商縮小修補空窗
針對Arm今年夏天修補的Mali GPU核心驅動程式安全漏洞,Google Project Zero團隊發現在漏洞細節與示範程式碼公開後,Android手機製造商仍未修補相關漏洞
2022-11-25
根據微軟安全威脅情報中心統計,全球有超過100萬臺採用Boa的裝置曝露於公開網路,但Boa至少有兩個已知且未被修補的安全漏洞,允許駭客自遠端執行任意程式
2022-11-23
| Zeppelin | 勒索軟體 | 安全漏洞 | Unit 221B
研究人員發現勒索軟體Zeppelin漏洞,協助受害者打造解密金鑰
其實Unit 221B早在2020年便得知Zeppelin相關漏洞,為了不讓駭客修補漏洞,過去2年來選擇與FBI合作低調協助受害者解鎖檔案
2022-11-21
資安業者ESET發現應該只用於製造過程中的驅動程式,被錯誤的納入聯想正式產品的BIOS映像檔中,而且沒有適當地被停用,引發CVE-2022-3431及CVE-2022-3432漏洞
2022-11-11
| MoTW | 安全漏洞 | Windows | Windows Mark of the Web
0patch釋出非官方的Windows MOTW漏洞修補程式
針對一項在今年7月公開、涉及微軟Windows Mark of the Web(MOTW)的安全漏洞,在微軟已知情未修補、但漏洞已遭到利用的情況下,資安業者0patch宣布釋出非官方修補程式
2022-10-18
| google | 安全更新 | Chrome | 安全漏洞 | CVE-2022-3304
9月27日公布的5項Chrome高風險漏洞中,包含4項使用已釋放記憶體(Use after free)漏洞,其中的CVE-2022-3304可能導致遠端攻擊者在電腦上執行任意程式碼,或發動阻斷服務(DoS)攻擊
2022-09-29
| Sophos | 安全漏洞 | CVE-2022-3236 | 防火牆
Sophos於9月23日發布安全公告,修補已被駭客用來攻擊部分防火牆用戶的程式碼注入漏洞CVE-2022-3236
2022-09-26