| CVE-2023-42846 | 蘋果 | iOS | MAC位置 | 漏洞
蘋果釋出iOS/iPadOS 17.1及watchOS 10.1更新,以修補3年前起就洩露iPhone、iPad及Apple Watch MAC位置的漏洞
2023-10-30
| 資安日報
【資安日報】10月27日,研究人員揭露新型攻擊手法iLeakage,可透過推測執行漏洞、用瀏覽器竊取蘋果裝置的用戶機密資訊
新型態的處理器推測執行漏洞iLeakage出現在iOS、iPadOS裝置,以及搭載M系列處理器的Mac電腦,攻擊者透過WebKit排版引擎的瀏覽器,就有機會偷取用戶的機密資訊
2023-10-27
Google公開旗下AI產品的安全漏洞通報獎勵標準,徵求外界提供Google Bard等生成式AI服務的漏洞資訊
2023-10-27
| TetrisPhantom | UTetris | 隔離網路 | Air-gapped
亞太地區的政府機關遭到駭客組織發動TetrisPhantom攻擊,利用安全加密隨身碟散布惡意程式,入侵隔離網路
資安業者卡巴斯基提及鎖定受隔離系統(Air-Gapped)、針對加密隨身碟下手的攻擊行動TetrisPhantom,並指出該攻擊行動存在長達數年
2023-10-26
| OAuth | Grammarly | Vidio | Bukalapak
Grammarly、Vidio、Bukalapak網路應用程式存在重大OAuth漏洞
資安業者Salt Security發現多個知名的網路應用程式存在OAuth漏洞,這些平臺包括:文法檢查服務Grammarly、印度影音串流服務Vidio,以及印尼電子商務網站Bukalapak
2023-10-26
| 資安日報
【資安日報】10月26日,研究人員揭露熱門網站服務的OAuth漏洞,攻擊者可架設另一個網頁服務來挾持用戶的登入資料
資安業者Salt Security於今年上半,發現Grammarly、Vidio、Bukalapak介接的OAuth身分驗證服務存在漏洞,攻擊者有機會利用使用者在其他服務的Token,破壞這些服務的帳號
2023-10-26
2023Q3零時差資安漏洞激增,短短一個多月爆出20個零時差漏洞,特別是涉及底層漏洞似乎變多
在9月到10月上半,我們關注到,攻擊者挖掘零時差漏洞並利用於攻擊行動的情況,似乎變得更嚴峻。我們特別統計了這方面的資訊,發現在這短短30多天,看到多達20個零時差漏洞已被用於攻擊行動的消息,平均下來,幾乎是快要每兩天就有1個零時差漏洞
2023-10-25
| 資安日報
【資安日報】10月25日,6月iOS裝置零點擊攻擊調查結果出爐,駭客嚴格確認已滲透至真實環境,才開始植入惡意程式
卡巴斯基今年6月揭露針對iOS用戶而來的零點擊攻擊行動Operation Triangulation,該公司亦有員工的裝置被感染惡意程式,現在他們針對這起攻擊行動公布更為詳細的發生過程
2023-10-25
| CVE-2023-4863 | CVE-2023-5129 | CVE-2023-41064 | 零時差漏洞 | libwebp | WebP
不只是瀏覽器零時差漏洞,CVE-2023-4863還影響開發者生態系統、作業系統與容器
Google在9月11日緊急更新Chrome瀏覽器,以修補已遭到駭客利用的CVE-2023-4863漏洞,後續很多專家紛紛指出該漏洞影響深遠,因為這是存在WebP圖像處理的開源編解碼程式庫libwebp,尤其是9月25日又發布一個滿分的libwebp漏洞(如今已視為CVE-2023-4863擴大),使得9月底、10月初討論熱度持續上升
2023-10-25
| IOS XE | CVE-2023-20198 | CVE-2023-20273
遭植入後門的思科IOS XE設備數量出現異常銳減狀現象,有資安廠商證實攻擊者其實是滅除遭駭痕跡,並植入新後門
本週末有許多研究人員發現,遭遇零時差漏洞CVE-2023-20198攻擊、被植入後門程式的思科網路設備突然大幅減少,這種不合理的現象,讓研究人員懷疑,其實是攻擊者改變戰術造成
2023-10-24
政府推出111短碼簡訊平臺,杜絕詐騙集團冒用公家名義簡訊詐騙
目前有六個機關和臺南市政府參與試用,明年一月納入共同供應契約,透過電信業者協助防偽,只有從111政府短碼簡訊平臺發送的簡訊,識別號碼才可以是111
2023-10-24