| 資安 | 安全漏洞 | Chrome | 釋放後使用漏洞 | Use After Free | 安全更新

Google緊急修補兩個已被開採的Chrome零時差漏洞

這次Google修補了2個與釋放後使用(Use After Free)有關的漏洞,該類型漏洞名列Mitre調查今年度25個常見漏洞中的第7名,能造成程式當掉,也可用來執行任意程式

2021-10-01

| Apple Pay | 安全漏洞 | Visa | 信用卡 | 行動支付 | 數位支付 | 電子支付 | 資安

研究:Apple Pay含有Visa信用卡可被盜刷的安全漏洞

研究人員先後將漏洞通報蘋果及Visa,但兩家業者對於誰該處理漏洞並無共識

2021-10-01

| 美國聯邦通訊委員會 | FCC | 華為 | 中興 | 設備汰換 | 國安 | 資安 | 電信

美FCC投入19億美元,推動電信業汰換華為、中興設備

為鼓勵電信業者移除含有國安風險的中國產品,FCC撥出19億美元經費,供當地電信商補貼因汰換手上華為和中興的電信網路設備,所產生的轉移費用

2021-10-01

| 資安 | 網路攻擊 | 後門程式 | 供應鏈攻擊 | SolarWinds | 滲透 | 竊資 | FoggyWeb | Tomiris

攻擊SolarWinds的駭客再涉入2起後門程式感染行動

微軟及卡巴斯基調查的2起後門程式感染行動,結果都不約而同指向去年底以供應鏈攻擊手法,對使用SolarWinds Orion的微軟、FireEye及10多個美國聯邦政府單位植入後門的俄國駭客組織Nobelium

2021-09-30

| 海康威視 | Hikvision | 監視器 | CVE-2021-36260 | 安全更新 | 修補 | 資安 | 安全漏洞 | 韌體 | 韌體漏洞

監視攝影機業者Hikvision修補可接管設備的RCE漏洞

編號CVE-2021-36260的安全漏洞存在於眾多版本的Hikvision韌體,波及的設備包括IP攝影機及PTZ攝影機70餘款,以及部分網路監控主機(NVR)

2021-09-30

| 資安 | 漏洞檢測 | Android | Java | Mariana Trench | MT | 開源 | 臉書 | 程式碼分析工具

臉書開源Android、Java App漏洞檢查工具

臉書打造自動化分析工具以加快程式檢查和漏洞偵測,其中最新對外開源的Mariana Trench(MT)可用來分析數千萬行程式碼規模的Android和Java App

2021-09-30

| Portpass | 疫苗護照 | 加拿大 | 資料外洩 | 資安

加拿大疫苗護照Portpass含有資料外洩漏洞

Portpass是由加拿大某家私人企業所開發,並非政府版疫苗護照,這起資安事件發生後,Portpass行動程式已呈現網路錯誤的狀態,官網也被關閉

2021-09-29

| 1Password | Fastmail | Masked Email | 電子郵件位址 | 資安 | 郵件安全防護

1Password推出可產生隨機電子郵件位址的Masked Email服務

同時使用1Password和Fastmail的用戶可使用隨機產生的電子郵件位址訂閱或註冊服務,並轉寄至指定的Fastmail郵件信箱,萬一隨機位址被駭就能直接關閉

2021-09-29

| 蘋果 | 安全漏洞 | 漏洞獎勵 | Bug Bounty | 資安 | 物件追蹤器 | AirTag | XSS攻擊

研究人員公開揭露蘋果Airtag遺失模式的安全漏洞

蘋果針對AirTag設計的遺失模式(Lost Mode)存在資安缺失,可能會被駭客用來欺騙拾金不昧者,在發現蘋果消極面對這項安全通報之後,貢獻者選擇對外公開漏洞資訊

2021-09-29

| Mozilla | 擴充程式 | 程式商店 | Safepal Wallet | 惡意程式 | 資安

Firefox惡意擴充程式Safepal Wallet清空了使用者的加密貨幣錢包

一名受害者指控Mozilla未做好把關,容許偽裝成加密錢包Safepal Wallet的惡意擴充程式在Firefox官方商店上架,導致他的加密錢包被盜轉一空

2021-09-28

| 變形程式碼簽章 | 垃圾軟體 | OpenSUdpater | Windows | 資安 | 惡意程式 | EoC marker

惡意程式使用新的簽章手法躲避Windows檢查

Google發現名為OpenSUdpater的垃圾軟體家族,透過變造簽章讓Window系統誤認為合法程式,還能躲過安全產品的偵測

2021-09-28

| 微軟 | 安全漏洞 | 資安 | Windows Platform Binary Table | WPBT | Windows

Eclypsium發現微軟的WPBT含有漏洞,允許駭客植入Rootkit

基於Windows內建的Windows Platform Binary Table(WPBT)接受已過期或被撤銷的憑證,這讓駭客得以打造惡意驅動程式,來建立或修改既有WPBT表格並指定Windows執行,還能躲過防毒軟體偵測

2021-09-27