| Apache Struts | 漏洞

特定Apache Struts 2版本含有陳年漏洞,曝遠端執行程式攻擊風險

漏洞存在於Apache Struts 2所使用的Commons FileUpload 1.3.2函式庫上,導致遠端程式攻擊,儘管在2016年便已修補,但Apache今年10月釋出Struts 2.3.36時仍使用含漏洞的函式庫版本,呼籲用戶儘快更新。

2018-11-07

| 固態硬碟 | 加密 | 漏洞

固態硬碟加密機制遭爆有漏洞,可能外洩加密資料

研究人員在市售五款SSD產品上發現其使用的加密機制存在漏洞,可讓能夠存取這些硬碟的第三方人士,不需密碼就能取得其中的資料,特別在Windows BitLocker的風險更高。

2018-11-06

| 微軟 | Edge | 漏洞

研究人員揭露Edge零時差漏洞

研究人員展示利用Edge的漏洞執行其他應用程式,並且準備打造一概念性攻擊驗證程式,以突破沙箱的保護,進而掌控使用者的電腦。

2018-11-05

| X Server | 漏洞

X.Org的X Server含有權限擴張漏洞,波及眾多Linux與BSD系統

編號CVE-2018-14665的漏洞存在於X.Org的X Server上,可能讓未具有特殊權限的使用者登入系統擴張權限,以最高權限執行任意程式,影響X Server 1.19及之後的版本。

2018-10-30

| 微軟 | Word | 漏洞

當心! 插入YouTube影片的Word文件可能讓惡意程式上身

駭客可以建立一個插入線上影音的Word文件,例如YouTube,竄改Word文件夾中的document.xml檔案的參考,再誘導被害者開啟文件,就會呼叫IE執行嵌入的檔案,感染勒索軟體或木馬。

2018-10-29

| 思科 | WebEx Meetings | 漏洞

思科修補WebEx Meetings app權限升級漏洞

漏洞存在於WebEx Meeting桌機版程式中的處理更新服務指令元件,駭客可透過開採漏洞,取得系統管理員權限,思科將該漏洞列為重要風險等級。

2018-10-26

| AWS | FreeRTOS | 漏洞 | IoT

AWS修補IoT平台FreeRTOS的13個安全漏洞

Zimperium指出13個漏洞藏匿在FreeRTOS的TCP/IP元件與AWS的安全連結模組中,而同樣的漏洞也出現在由WHIS打造的商業版OpenRTOS與強調安全性的SafeRTOS版本的TCP/IP元件內,駭客開採漏洞可讓裝置當機、自裝置記憶體存取資訊或從遠端執行程式。

2018-10-22

| jQuery File Upload | 漏洞

jQuery知名外掛File Upload遭爆有存在超過8年的安全漏洞

研究人員指出jQuery File Upload的漏洞,可讓駭客上傳一個介殼程式到伺服器上執行,也影響其他jQuery File Upload為基礎的專案。

2018-10-22

| D-Link | 漏洞

研究人員公布D-Link路由器漏洞,牽涉8款產品,D-Link只修補2款

研究人員發現的3個漏洞,可讓駭客掌控入侵的路由器,共影響8款產品,由於6款產品已結束產品生命周期,D-Link僅承諾修補2款。研究人員揭露漏洞資訊外,也釋出概念性驗證攻擊程式。

2018-10-19

| Windows | RID | 漏洞

Windows 爆RID綁架漏洞,至少10個月未修補

Windows系統被發現存在RID綁架漏洞,雖不會引發遠端程式碼執行,但駭客只要破解電腦帳戶密碼,就能將低權限的用戶帳號升級為管理員權限,等於在Windows上開啟後門。

2018-10-18

| 臉書 | 漏洞

臉書被駭事件總計有3,000萬名用戶遭殃

臉書重置9000萬可能受影響的用戶的存取權杖,使這些用戶在9月底被強制登出,必需重新登入重置新的權杖。同時,臉書也證實駭客竊取3000萬用戶的存取權杖,包含用戶的個資。

2018-10-15

| Microsoft Edge | 漏洞

研究人員釋出Microsoft Edge漏洞的概念性驗證攻擊程式

駭客只要架設一個可攻陷該漏洞的惡意網站,並誘導Microsoft Edge用戶造訪,說服用戶與之互動,就能執行任意程式。

2018-10-12