部分9.8 分高風險漏洞,攻擊的可能性卻很低!如何判斷修補更新優先順序,強化勒索病毒防禦?

企業有上千種應用程式必須管理,因此需要一套有效的方法來判斷軟體資安漏洞修補的優先次序,而這需要一種情境化且風險導向的方法,以及良好的整體受攻擊面管理。

「勒索病毒聚光燈」(Ransomware Spotlight) 系列延伸閱讀:

IT 團隊已經被每月、每周、甚至每日的軟體修補作業所淹沒,因此需要一套策略性資安修補管理方法才能在情境當中評估風險、有效地判斷優先次序,同時管理整體的受攻擊面風險。

今日企業擁有大量的軟體必須管理並維持更新,根據 MuleSoft Research 的「2023 年連貫性評比報告」(2023 Connectivity Benchmark Report) 指出平均大約有 1,061 個應用程式。在這樣的規模下,許多軟體廠商每個月、每星期、有時甚至每天都會發布資安修補,因此 IT 團隊需要一套策略性方法來判斷哪些該優先修補以及何時修補。

繼續閱讀

趨勢科技 ZDI 揭露漏洞並緩解危機

2022秋季 Pwn2Own 駭客大賽突顯家用裝置推升企業資安風險的現況

【2022 年 12 月 29 日台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 公布 Zero Day Initiative (ZDI) 漏洞懸賞計畫的秋季 Pwn2Own 駭客大賽優勝者。整場活動總共頒發高達 989,750 美元的獎金,收購了 63 個非重複零時差漏洞。這些漏洞若被不肖駭客開發成武器,其造成的時間、資料與財物損失可能為世界帶來 10 倍的衝擊。

了解有關 Pwn2Own Toronto 駭客大賽的更多資訊以及決賽優勝者

趨勢科技 ZDI 威脅意識提升總監 Dustin Childs 指出:「身為一家資安廠商,我們不僅有責任保護我們的客戶,同時也有義務讓我們生活和工作的數位連網世界變得更安全。今年的 Pwn2Own 揭露了大量的漏洞,徹底實踐了這項使命,但也突顯出分散式人力所造成日益嚴重的資安威脅。」

繼續閱讀

Android手機漏洞警訊,不到兩分鍾就能繞過螢幕鎖定保護, 包括密碼、PIN碼或指紋辨識

最近出現一個新的安全漏洞讓駭客能夠繞過某些Android手機的螢幕鎖定保護。該如何保護好你裝置內的重要資料?

新出現的Android漏洞


這個新漏洞是由道德駭客David Schütz所發現。這驚人簡單的漏洞攻擊只需不到兩分鐘就可以完成,讓駭客能夠繞過任何的螢幕鎖定保護,包括密碼、PIN碼或指紋辨識。

儘管需要直接拿到手機,但只需快速地更換SIM卡並進行幾個基本步驟,駭客就可以進入裝置並取得儲存在裝置上所有的個人資訊。下方影片展示了如何快速地進行漏洞攻擊。

你可以到David Schütz的部落格找到關於駭客如何進行漏洞攻擊的完整說明,以及他如何發現的故事。

哪些手機有風險?

繼續閱讀

CVE-2019-8561:難纏的 macOS PackageKit 框架漏洞

本文詳細說明我們對 CVE-2019-8561 漏洞的研究,這是一個存在於 macOS 軟體安裝套件 (PKG 檔案) 安裝框架「PackageKit」當中的漏洞。

本文詳細說明趨勢科技對 CVE-2019-8561 漏洞的研究,這是一個存在於 macOS 軟體安裝套件 (PKG 檔案) 安裝框架「PackageKit」當中的漏洞。我們將討論 Apple 如何修補這個漏洞,漏洞修補之後我們如何繼續攻擊這個漏洞,以及後續 Apple 又如何再次修補。

此外,我們也通報了超過 15 個規避 Apple SIP 機制的漏洞給 Apple,其中有些漏洞我們曾在 Power of Community 2022 Security Conference (POC2022) 研討會上討論過。本文是我們一系列討論 Apple SIP 相關漏洞的部落格之一。

繼續閱讀

OpenSSL 3.0 最新重大漏洞與資安修正

新發現的 OpenSSL 漏洞帶來潛在的營運中斷風險。

以下是有關本週揭露的 OpenSSL 漏洞您該知道的資訊以及該如何因應

本週揭露的 OpenSSL 漏洞目前仍有許多未知細節有待 11 月 1 日正式公布,不過目前已出現一些雜音和疑慮,同時也是大家預做準備等待進一步細節公布的時機。

OpenSSL 是一個開放原始碼加密功能函式庫,廣泛應用於各種商業及內部應用程式,提供加密以及其他安全與隱私功能。不論是部署在企業內、雲端、軟體服務 (SaaS)、端點、伺服器、IoT 或 OT 環境的應用程式都有它的蹤影。所以,OpenSSL 一旦出現嚴重漏洞,其潛在的營運中斷風險相當高。


繼續閱讀