| AWS | AppSync | 安全漏洞

AWS修補AppSync的跨租戶攻擊漏洞

日前AWS修補了AppSync一個能使攻擊者冒充其他AWS租戶身分,並使用或入侵他人AWS資源的「混淆代理人」漏洞

2022-11-28

| Mali GPU | ARM | 安全漏洞 | CVE-2022-33917 | CVE-2022-36449

Mali GPU漏洞沒人要補,Google Project Zero呼籲手機製造商縮小修補空窗

針對Arm今年夏天修補的Mali GPU核心驅動程式安全漏洞,Google Project Zero團隊發現在漏洞細節與示範程式碼公開後,Android手機製造商仍未修補相關漏洞

2022-11-25

| Boa | 安全漏洞 | 開源 | IoT

駭客利用2005年就停止更新的IoT解決方案Boa入侵組織

根據微軟安全威脅情報中心統計,全球有超過100萬臺採用Boa的裝置曝露於公開網路,但Boa至少有兩個已知且未被修補的安全漏洞,允許駭客自遠端執行任意程式

2022-11-23

| Zeppelin | 勒索軟體 | 安全漏洞 | Unit 221B

研究人員發現勒索軟體Zeppelin漏洞,協助受害者打造解密金鑰

其實Unit 221B早在2020年便得知Zeppelin相關漏洞,為了不讓駭客修補漏洞,過去2年來選擇與FBI合作低調協助受害者解鎖檔案

2022-11-21

| 聯想 | 安全漏洞 | UEFI

聯想修補可用來關閉UEFI安全開機功能的漏洞

資安業者ESET發現應該只用於製造過程中的驅動程式,被錯誤的納入聯想正式產品的BIOS映像檔中,而且沒有適當地被停用,引發CVE-2022-3431及CVE-2022-3432漏洞

2022-11-11

| MoTW | 安全漏洞 | Windows | Windows Mark of the Web

0patch釋出非官方的Windows MOTW漏洞修補程式

針對一項在今年7月公開、涉及微軟Windows Mark of the Web(MOTW)的安全漏洞,在微軟已知情未修補、但漏洞已遭到利用的情況下,資安業者0patch宣布釋出非官方修補程式

2022-10-18

| google | 安全更新 | Chrome | 安全漏洞 | CVE-2022-3304

Google Chrome修補5項高風險漏洞

9月27日公布的5項Chrome高風險漏洞中,包含4項使用已釋放記憶體(Use after free)漏洞,其中的CVE-2022-3304可能導致遠端攻擊者在電腦上執行任意程式碼,或發動阻斷服務(DoS)攻擊

2022-09-29

| Sophos | 安全漏洞 | CVE-2022-3236 | 防火牆

Sophos修補已被開採的防火牆漏洞

Sophos於9月23日發布安全公告,修補已被駭客用來攻擊部分防火牆用戶的程式碼注入漏洞CVE-2022-3236

2022-09-26

| 微軟 | 安全漏洞 | CVE-2022-37972 | KB15498768更新

微軟緊急修補SCCM遭公開的漏洞

微軟針對Endpoint Configuration Manager 2103到2207版,釋出KB15498768更新,以修補一個已經公開的安全漏洞

2022-09-26

| Python | CVE-2007-4559 | 開源專案 | 安全漏洞

存在15年的Python漏洞影響35萬個開源專案

Python模組一項未修補漏洞沉潛15年後重見天日,資安業者Trellix發現這項當初風險等級只被列為6.8的漏洞,實則允許駭客藉由寫入檔案而執行程式,估計至少35萬個開源專案受影響

2022-09-23

| Wintermute | 加密貨幣 | 安全漏洞 | 位址產生器 | Profanity | 供應鏈攻擊

加密貨幣造市商Wintermute被駭走1.6億美元

Polygon平臺的資安長認為Wintermute之所以遭駭客盜走加密資產,是因為Wintermute管理員使用的熱錢包位址,來自於含有安全漏洞的虛榮位址產生器Profanity

2022-09-21

| CVE-2022-3075 | Chromium | 安全漏洞 | Chrome | Edge

Google、微軟分別修補已遭開採的瀏覽器零時差漏洞

8月底研究人員發現Chromium的Mojo元件含有資料驗證不足的安全缺陷,上周Google和微軟緊急更新Chrome及Edge,以修補這項已出現開採活動的高風險漏洞

2022-09-05