LinkedIn的AutoFill遭爆有漏洞,可能外洩用戶資料
LinkedIn所開發的AutoFill原本可讓廣告客戶在自己的網站上嵌入按鍵,讓使用者一鍵自動填入LinkedIn的會員資料,但研究人員發現任何網站都能使用AutoFill,而且可隱藏在網頁中,使用者點選網頁就可能在不知不覺下傳送資料。
2018-04-20
| 微軟 | Internet Information Services | 漏洞 | 挖礦
IIS 6.0主要是Windows Server 2003的服務,微軟已於2016年終止支援支援服務,去年3月IIS 6.0被揭露漏洞,近來研究人員發現該漏洞又遭利用,用以進行挖礦攻擊。
2018-04-16
| Cisco Smart Install | 漏洞 | 伊朗 | 交換器
駭客濫用Cisco Smart Install協定,伊朗3500台交換器遭駭
上周伊朗宣稱該國境內3,500台交換器遭到駭客攻擊,思科亦證實此事,並表示已接獲不同國家的多項攻擊報告。建議用戶可以關閉Smart Install功能,並儘速修補位於Smart Install的CVE-2018-0171漏洞。
2018-04-09
| 英特爾 | Intel Remote Keyboard | 漏洞
Intel Remote Keyboard含有權限擴張漏洞,英特爾:免修補直接移除!
Intel Remote Keyboard含有3個安全漏洞,全屬權限擴張漏洞,可讓在同一網路上的駭客假冒用戶執行輸入,或允許本地端駭客入侵其它遠端鍵盤,還可讓本地端駭客提高權限以執行任意程式,所有版本均受影響。
2018-04-06
| Natus NeuroWorks | 腦波儀軟體 | 漏洞
研究人員在知名腦波儀Natus NeuroWorks中發現5個漏洞,可讓駭客藉機存取裝置上的病患資訊、存取醫院網路上其他系統,或是發動阻斷攻擊。
2018-04-06
這些處理器涵蓋了英特爾Core、Celeron、Pentium及Xeon等較早期的CPU,有些甚至可追溯到2008年,使用者已經很少。
2018-04-05
| LiveChat | TouchCommerce | 線上客服工具 | 漏洞
研究人員警告:LiveChat與TouchCommerce等線上客服工具含有員工資訊外洩漏洞
這些線上客服工具都有相同的漏洞,可能外洩客服人員的姓名、員工編號、位置、電子郵件,或是主管的姓名/員工編號與客服中心的名稱,進而被用於社交工程,展開進一步的攻擊行動。
2018-04-04
| 蘋果 | iOS 11 | Camera app | QR Code | 漏洞
iOS 11的Camera app有QR Code漏洞,可能將用戶導向惡意網站
研究人員發現iOS的相機程式存在一項漏洞,無法正確偵測QR Code URL中的主機名稱,讓攻擊者可以假造通知中顯示的URL,達到誘騙使用者連向第三方網站的目的。
2018-04-02
快修補!思科爆重大遠端程式碼執行漏洞,850萬台交換器拉警報
漏洞存在於IOS及IOS XE的Smart Install中,思科指出漏洞可讓未經驗證的遠端攻擊者驅動裝置重新載入,造成阻斷服務或是任意程式碼執行攻擊。
2018-03-30
| 微軟 | Meltdown | Windows 7 | 漏洞
微軟Meltdown修補程式反而造成部分Windows 7有更大漏洞
正常情況下只有作業系統核心(Supervisor)才可存取PML 4分頁表,但Windows修補程式中將PML4權限設定改成User後,分頁表內容即暴露給所有程序中的User模式下的程式碼,而使app存取只要撰寫PTE (Page Table Entries)即可存取任意的實體記憶體資訊。
2018-03-28
趨勢科技的安全人員發現微軟的「遠端協助」存在XXE漏洞,駭客可發送惡意的遠端協助邀請,被邀者以為可幫人解決IT問題,卻不知道包含用戶名稱及密碼的特定log或config檔已被回傳至攻擊者控制的伺服器。
2018-03-22