| Apache Log4Shell | Log4j | 安全漏洞 | 資安 | CVE-2021-44228
Apache Log4j驚爆近年最嚴重漏洞,殃及蘋果、微軟、推特重要服務,連美國國安局都受影響
針對影響開源日誌資料庫Log4j的安全漏洞CVE-2021-44228,Apache基金會建議企業立即升級到2.15.0版本,微軟證實這項漏洞影響Minecraft Java Edition,呼籲用戶更新軟體
2021-12-13
| AI資安 | AI資安SOC | Bug Bounty
微軟公開安全應變中心年度成效,揭露威脅偵測、弱點回報、事故因應流程
結合超大規模數據收集,以及AI與自動化分析能力,微軟安全應變中心能夠針對全球資安威脅活動,持續進行偵測、應變,以及弱點揭露,他們最近也公開去年7月至今年6月底的防護成效
2021-12-11
| 金融FIDO | 金融行動身分識別聯盟 | 金管會 | 晶片金融卡 | 跨機構身分識別
金融FIDO最後決定用晶片金融卡綁定,金管會正輔導7組金融機構準備試辦
金融行動身分識別標準化機制(金融FIDO)有最新進展,金融行動身分識別聯盟已決定採用晶片金融卡作為開通金融FIDO的卡片。在開發上,將先採取分散式開發手機身分識別App,比如,金控旗下若有金融子公司,可自行建立金融FIDO自有體系,由金控設計同一款金融服務App,來讓旗下子公司共用。目前,金管會正在輔導7組金融機構準備FIDO的試辦案件。
2021-12-10
| 惡意廣告 | Google Ads | Magnat | RedLine | Azorult
駭客利用惡意廣告散布3種工具,不只控制受害電腦,還側錄使用者鍵盤輸入的內容
思科發現自2018年底出現的攻擊行動,駭客組織Magnat透過惡意廣告,引誘使用者下載並執行冒牌的軟體安裝程式,最終在受害電腦部署RDP後門程式、竊密軟體,以及惡意Chrome外掛程式
2021-12-10
| NCC | 主動式防禦 | 國家級通訊軟體領域安全實驗室 | 關鍵電信基礎設施資通設備資通安全檢測技術規範
隨著國家通訊暨網際安全中心(NCCSC)的建立,NCC今年有更多行動,包括7月生效的關鍵電信基礎設施資通設備資通安全檢測技術規範,到了年底,資通設備資安漏洞通報系統將建置完成,原訂年初建立的國家級通訊軟體領域安全實驗室(NCSS Lab),場地施工延宕至年底現也接近完成,最新進展更將推動主動式防禦。
2021-12-10
| Notepad++ | StrongPity | APT-C-41 | Promethium | 國家級駭客組織 | 鍵盤側錄程式
被稱為StrongPity、APT-C-41 或Promethium的國家級駭客組織,經常利用合法軟體加入後門程式的手法發動攻擊,最近安全研究人員發現StrongPity開始散布夾帶鍵盤側錄程式版本的Notepad++
2021-12-10
| 安全漏洞 | Dark Mirai | TP-Link | 路由器 | TP-LINK TL-WR840N EU (V5) | CVE-2021-41653
Dark殭屍網路程式鎖定TP-Link家用無線路由器RCE漏洞
針對存在於TP-LINK TL-WR840N V5路由器的遠端程式碼執行漏洞,TP-Link於11月12日發布新版韌體供用戶修補
2021-12-10