| PDF規格 | 安全漏洞 | 資安 | Ruhr-Universität Bochum | 認證簽章 | Certification Signatures

研究人員揭露PDF規格的兩個安全漏洞,將允許駭客偷偷竄改已認證文件內容

PDF規格定義了兩種型態的數位簽章,研究人員發現其中的認證簽章(Certification Signatures)有安全漏洞,能夠讓第三方變更已認證文件中的內容呈現,同時保留認證簽章的有效性,對此Adobe、Foxit與LibreOffice已完成修補

2021-05-27

| 比利時 | Exchange Server | 安全漏洞 | 資安 | 國安

比利時內政部網路也因Exchange Server漏洞遭駭

當比利時內政部試圖修補Exchange漏洞之際,除了發現因此被植入後門程式,官方還發現另外一起更嚴重的國安威脅

2021-05-27

| 安全漏洞 | 資安 | Chrome 91 | TLS | 10080傳輸埠

Chrome 91來了:可以凍結分頁群組,封鎖TLS 1.0/1.1與10080傳輸埠

Chrome 91正式禁用SSLVersionMin政策以及10080傳輸埠,管理員必須將伺服器全面升級到TLS 1.2,關閉10080傳輸埠則是為了緩解NAT Slipstreaming 2.0攻擊

2021-05-26

| MacOS | 資安 | 蘋果 | XCSSET | 木馬程式 | CVE-2021-30713 | 側錄攻擊

木馬程式開採MacOS零時差漏洞暗中錄製螢幕

被XCSSET木馬濫用的零時差漏洞CVE-2021-30713,能讓駭客繞過蘋果防護機制,對Mac電腦進行側錄、監控或竊取信用卡帳號及密碼

2021-05-25

| 資安 | 漏洞 | Palo Alto | Exchange Server

Exchange漏洞公布5分鐘就被駭客掃描

Palo Alto調查發現,駭客平均在零時差漏洞CVE公開後15分鐘,便會出現針對性的掃描行動,甚至今年3月發現Exchange Server漏洞這塊肥肉不到5分鐘,便開始搜尋獵物準備下手

2021-05-24

| SITA | 國際航空電訊集團 | Passenger Service System | PSS | 印度航空 | 航空業 | 個資外洩 | 資安

SITA供應鏈被駭受害者:印度航空外洩450萬名乘客資料

國際航空電訊集團(SITA)旗下專門經營航空公司系統的子公司遭駭,波及印度航空等多家航空業者,印度航空雖然在今年2月25日就收到通知,但一直到5月才確認受到影響的乘客資料並對外公布

2021-05-24

| 弱點獎金計畫 | 資安 | 臭蟲

【臺灣資安大會直擊】企業為何需要建立弱點獎金計畫?專家指出有2大抗漏優點

獨立產品安全顧問李宜謙提到,考量到軟體漏洞可能對企業造成的損失,以及內部培養資安人才所要付出的成本,企業弱點獎金計畫發出的報酬合理且有效率

2021-05-22

| 配置錯誤 | 雲端 | 資安 | 帳號安全 | 配置不當 | 資料庫 | Android

Check Point Research:23款Android程式因雲端配置錯誤,讓1億用戶的資料曝險

程式開發商使用的雲端儲存服務配置錯誤,連帶讓存放在雲端的Android用戶個資曝險

2021-05-21

| 愛爾蘭健康服務管理署 | HSE | conti | 勒索軟體 | 資安 | 雙重勒索

攻擊愛爾蘭健康服務管理署的駭客耍詐,給解密金鑰後仍威脅出售民眾個資

遭到勒索軟體攻擊的愛爾蘭健康服務管理署(HSE)雖然獲得解密金鑰,但狡猾的駭客仍然以盜走內部資料為要脅,試圖迫使HSE付錢以贖回病患與員工個資

2021-05-21

| 微軟 | SimuLand專案 | 網路攻防模擬 | 資安

微軟開源可用來部署模擬網路攻擊實驗室環境的SimuLand專案

要部署SimuLand所提供的模擬攻擊實驗室環境,需具備Microsoft 365 E5授權及Azure租戶身分

2021-05-21

| 資安 | 漏洞 | Android

Android的5月安全更新已有4個漏洞遭到開採

本月初修補的Android漏洞中,Google證實源自高通GPU以及Arm Mali GPU的漏洞已遭濫用

2021-05-21

| 北市聯醫 | 資安 | SSDLC | 委外廠商 | VPN

醫院如何把關委外廠商資安,北市聯醫資安長揭露8階段重點

北市聯醫資安長許世欣將委外服務分為8階段,來盤點各階段需注重的資安重點,比如第1階段徵求建議書(RFP)時,一大重點就是判斷系統所需的防護等級,如此才能正確對應到資安法附表的防護措施。

2021-05-21