零時差漏洞

【資安週報】2024年4月8日到4月12日

這一星期有微軟、D-Link、Palo Alto Networks的漏洞利用情況須重視，還有多家IT廠商的每月例行安全更新修補發布；在資安事件焦點方面，國內5家上市櫃發布資安事件重大訊息，包括佰研、富野、聯成、聯華、聯合再生，短短一周就有5篇資安事故公告，格外引人注目

2024-04-15

| 微軟 | Patch Tuesday | CVE-2024-21322 | CVE-2024-21323 | CVE-2024-29053 | 零時差漏洞 | CVE-2024-29988 | CVE-2024-26234

微軟4月Patch Tuesday修補147個安全漏洞，創歷史新高

微軟4月例行更新公布2個零時差漏洞，分別是代理驅動程式（Proxy Driver）欺騙漏洞，以及涉及SmartScreen提示安全功能被繞過漏洞

2024-04-10

【資安週報】2024年4月1日到4月3日

這一星期適逢清明連假，而連假前夕最大條的資安消息，就是關於XZ Utils程式庫被植入後門與漏洞的事件，還有2個漏洞利用要注意，包括AI框架Ray與Android Pixel的漏洞；資安事件焦點方面，以CISA的Ivanti伺服器遭駭，及OWASP基金會資料外洩，最受矚目，臺灣也發生亞昕資訊校務行政系統遭駭、7高中受影響的事件

2024-04-08

【資安週報】2024年3月25日到3月29日

這一星期有多個已知漏洞被利用消息，包括Fortinet、微軟、VMware、Ivanti 與Nice的漏洞；周末更傳出涉及SSHD供應鏈攻擊的事件，原因出在XZ Utils程式庫，要特別重視這方面因應；在資安威脅焦點方面，有研究人員針對採用Tycoon 2FA網釣攻擊工具包、以手機用戶為目標網釣工具包Darcula的攻擊行動提出警告

2024-04-01

| 第三方元件 | 函式庫 | google | 零時差漏洞

Google報告指去年第三方元件零時差漏洞攻擊增加，鎖定企業軟硬體創新高

Google歸納去年零時差漏洞攻擊五大趨勢，包括駭客利用第三方元件和函式庫的零時差漏洞，發動供應鏈攻擊的情況有升溫趨勢

2024-03-28

CISA督促業者在產品出貨前檢查SQL注入漏洞

有鑑於去年駭客利用MOVEit Transfer網頁應用程式的SQL注入漏洞發動大規模攻擊，美國政府發布Secure by Design Alert，呼籲技術製造商在產品出貨前，應審查程式碼是否含有SQL注入漏洞

2024-03-26

【資安週報】2024年3月18日到3月22日

在這一星期的漏洞新聞中，HTTP非同步傳輸框架Aiohttp於1月修補的漏洞遭利用的消息，需要特別留意；在重大資安新聞方面，以國際貨幣基金組織與富士通的遭駭最受關注，還有最新攻擊手法揭露，包括新型DoS攻擊手法Loop DoS、GoFetch微架構旁路攻擊

2024-03-25

【資安週報】2024年3月11日到3月15日

這星期有多家廠商發布每月例行安全更新修補，包括微軟、Adobe、SAP、西門子、施耐德電機等公司，以及WordPress有多個外掛程式漏洞遭利用需重視；在資安威脅焦點方面，勒索軟體與BEC詐騙蟬聯2023年企業最大風險與挑戰，美國FBI公布接獲2,825件勒索軟體攻擊事故，且BEC詐騙造成的損失持續增加，高達29億美元

2024-03-18