| Patch Tuesday | 微軟 | 安全更新 | 修補 | 漏洞
微軟Patch Tuesday修補112項漏洞,包括能和Chrome漏洞串聯的零時差漏洞
編號CVE-2020-17087的Windows核心的pool-based緩衝溢位漏洞,可和Chrome瀏覽器Freetype零時差漏洞串聯起來,讓惡意程式突破沙箱而在Windows執行,已出現實際攻擊行動
2020-11-11
| 漏洞 | GitHub Actions | Google Project Zero | CVE-2020-15288
拒絕展延修補寬限期,Google準時公布GitHub高風險漏洞
與GitHub官方對存在於Actions服務的漏洞修補方式無法達成共識,Project Zero成員決定不再給GitHub修補寬限期,自行揭露CVE-2020-15228漏洞細節
2020-11-06
| 思科 | 漏洞 | AnyConnect | CVE-2020-3556
思科供遠端用戶存取企業網路的AnyConnect客戶端程式有安全漏洞,官方截至11月5日中午尚未提供修補,現階段緩解措施是關閉自動更新功能並封鎖腳本程式的執行
2020-11-05
| Chrome 86 | 修補 | 安全更新 | 漏洞 | CVE-2020-16009
Google再修補10個Chrome安全漏洞,當中一個已被開採
繼10月6日發表Chrome 86以來,Google第二度緊急更新Chrome,以修補重大的安全漏洞,並警告當中的CVE-2020-16009漏洞攻擊程式已經現身
2020-11-04
| 網路邊界 | 漏洞 | CVE-2016-0800 | CVE-2014-3566 | 安全更新
Positive Technologies掃描了網路上3,514臺位於企業網路邊界的主機,發現有84%的企業陷於高風險的安全漏洞中,其中高達6成企業為金融業與製造業者
2020-11-03
WebLogic Server核心元件含有的漏洞,恐讓未授權攻擊者透過Oracle T3或Internet Inter-ORB協定發動攻擊
2020-10-23
| 行動瀏覽器 | 網址列欺騙 | 漏洞 | Address Bar Spoofing | Javascript shenanigan
攻擊者利用網頁載入和瀏覽器更新網址的時間差,引發來自惡意網站的跳出視窗,或是在瀏覽器中載入惡意網站的內容,恐讓用戶在不知情下連向惡意網站
2020-10-22
| Chrome 86 | CVE-2020-15999 | 漏洞 | 修補
10月初釋出Chrome 86後,Google在本周釋出Chrome 86.0.4240.111,緊急修補5個安全漏洞,同時警告當中的CVE-2020-15999已出現針對性攻擊程式
2020-10-21
| SonicWALL | 漏洞 | 修補 | CVE-2020-5135 | SonicOS
攻擊者可以透過對Sonicwall NSA發送包含客製化協定的HTTPS呼叫予以觸發,引起記憶體毁損、造成DoS攻擊。業者對此已釋出包含修補程式的新版SonicOS,企業用戶應儘速更新
2020-10-19
| ZeroLogon | 漏洞 | CVE-2020-1472 | 微軟 | AD | Active Directory伺服器 | 群暉科技
對於今年揭露的Zerologon漏洞,身為設備商也是企業用戶的群暉科技,他們指出所有實作AD網域控制器的產品都受影響,同時也分享他們的因應經驗
2020-10-19
| ZeroLogon | 漏洞 | CVE-2020-1472 | 微軟 | AD | Active Directory伺服器
探究這次Netlogon遠端協定漏洞的成因,其實暴露了該協定中加密驗證演算法在實作上的缺失
2020-10-19