本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 多款超人氣APP,偽裝 VPN、健身、相片編輯、挖礦等應用程式,竊取登入憑證與加密貨幣金鑰,,還會私吞100 美金
- 你的按鍵被監控了嗎? 鍵盤側錄器進入電腦的四個管道
- 挖礦攻擊對 DevOps 團隊的衝擊
- 零信任資安模型與 DevOps 整合的 5 大元素
- 如何封鎖YouTube頻道? 過濾兒童不宜影片
- 《資安漫畫》聚餐後,手機遺失了怎麼辦?
- 你的iPhone 最近怪怪的-出現很多廣告、電池一下就沒電?五步驟檢測iPhone上的惡意軟體
- 《上週資安新聞周報》蘋果爆Apple ID集體遭駭!大量登入位置在中國/幾秒內超隱私資料被看光光!踏入元宇宙前要知道的資安危機/在家用手機/網路報稅好方便 但這三件事情可以留意
資安新聞精選
80% 都冒牌貨,加密市場 OpenSea 因 NFT 打擊仿冒品 科技新報網
網站稱「買NFT還能抽捷運宅」 3大建商澄清:無合作關係 中央通訊社
F5 BIG-IP 設備驚爆史上最嚴重安全漏洞,即使設備修復駭客仍可持續控制 科技新報網
駭客利用熱門Roblox程式工具散布木馬 iThome
跡象顯示勒索軟體REvil駭客組織復活 iThome
駭客可遠端解鎖特斯拉還開走!研究員推估:至少 200 萬輛受威脅 自由時報電子報
研究指稱許多網站在使用者還沒提交前,就已外洩所輸入的內容 iThome
iPhone 關機也沒用!駭客仍能經低功耗模式遠端監控入侵 科技新報網
安卓用戶快刪除!7款App 暗藏變種版惡意間諜軟體「偷」手機個資 自由時報電子報ㄕ b
150萬個App恐存被駭漏洞!蘋果、Google準備刪除「不更新」App 自由時報電子報
有社群帳號就能註冊!LINE推出NFT錢包Dosi Wallet 數位時代
蘋果新政策:開發者不需經用戶同意,可自行調漲訂閱服務價格 數位時代
iOS 15.5釋出!修補34個資安漏洞 蘋果呼籲「儘快升級」 今日新聞
盤點LINE熱門假訊息 這則防疫偏方被轉傳最多 台灣蘋果日報網
【事實釐清】網傳簡訊「您為COVID-19確診個案,請前往自主回報系統網站並核對個人資料後,主動回報密切接觸者…」? 雅虎奇摩
英特爾修補10多項晶片韌體高風險漏洞 iThome
國教署「英語資安達人」即起報名至6/17 獎金禮券等你拿 桃園電子報
推特上充斥「機器人」讓收購暫緩!馬斯克端解法:抽樣100粉絲揪假帳號 數位時代
「資工人才」含金量驚人 碩士、大學薪資差距2.25倍 經濟日報網
Zoom 新 AI 分析功能引起 25 家人權團體眾怒,最後通牒為 5/20 科技新報網
投資加LINE詐騙猖獗 「謝金河—數字台灣」小編深夜公告:周杰倫加你你會信嗎? 太報
一頁式廣告賣快篩只要92元 警:林右昌、陳時中遭盜圖成詐騙「代言人」 新頭殼
無密碼登入、強制兩步驟驗證!Android 用戶將有五項安全變革 自由時報電子報
【台灣資安好棒棒?】下載到舊版 Log4j 的比例,台灣贏了世界各國 科技報橘網
謠言終結站》填寫問題抽1萬超市禮券? 其實是詐騙網站! 自由時報電子報
突圍雲地資安風險,AWS提出三大混合雲防護關鍵 CIO IT經理人
SEMI E187 訂下半導體資安標準,為何這可能是台灣半導體設備商競爭力突破點? 科技報橘網
Google Cloud新服務將提供經安全驗證的開源套件 iThome
Google夏季將釋新版Android Auto 納入Android L設計概念 聯合新聞網
Google I/O 2022 開發者大會:使用 Android 跨裝置完成更多事 史塔夫科技事務所
微軟加碼在台投資 透過首座微軟雲端資料中心培育數位轉型人才 經理人網
微軟針對加密錢包的「Cryware」資訊竊取惡意軟體發出警告 鉅亨網
微軟與財團法人電信技術中心雙管齊下推動5G專網資安 電子時報網
微軟大撒幣留才!宣布加薪預算近翻倍,員工年度配股調高 25% 科技新報網
內建VPN的微軟Edge瀏覽器正式釋出測試版 iThome
微軟 5 月「週二修補程式日」更新出紕漏!網上陸續傳出 AD 認證失敗災情 科技新報網
研究人員揭露重大的BLE漏洞,舉凡支援接近解鎖功能的汽車、門鎖或筆電都可能遭駭 iThome
CVE-2022-26923:Active Directory 網域權限提升漏洞運用分析 iThome
【資安日報】2022年5月18日,WordPress外掛程式Tatsu Builder遭到大規模攻擊、macOS惡意軟體UpdateAgent出現變種 iThome
【資安日報】2022年5月17日,駭客同時利用3種竊密軟體偷取受害電腦資料、微軟先前修補的SharePoint漏洞被發現有繞過的方法 iThome
多國警告 MSP 面臨網路安全威脅 科技新報網
未來兩年將有1.5億資金投入開源碼安全問題 iThome
製造業邁向智慧創新升級 雲端管理與資安整合成新挑戰 電子時報網
與歐盟同步!「數通法」草案預訂6月底對外公布 中央廣播電臺
駭客已著手開採合勤防火牆的CVE-2022-30525漏洞 iThome
【資安日報】2022年5月16日,駭客組織SideWinder橫行歐亞、殭屍網路Sysrv鎖定Spring框架和WordPress漏洞下手 iThome
NIST發布新版《網路安全供應鏈風險管理指南》,聚焦18個C-SCRM安全控制面向 iThome
5G滲透率 全球排名坐四望三 經濟日報網
國人Q1狂刷7,826億 史上新高 工商時報電子報
【資安日報】2022年5月13日,後門程式BPFDoor鎖定Linux與Solaris電腦而來、Zyxel修補防火牆遠端命令注入漏洞 iThome
合勤修補多個防火牆裝置的安全漏洞 iThome
OpenSea 推出多項新措施打擊假 NFT Engadget中文版
車聯網啟動更安全、高效率的智慧交通新時代 電子工程專輯
【資安日報】2022年5月12日,鎖定德國企業的NPM惡意套件竟是資安業者所為、駭客利用IceApple工具包攻擊Exchange伺服器 iThome
HP修補波及逾200款裝置的BIOS漏洞 iThome
安卓用戶快刪除!7款App 暗藏變種版惡意間諜軟體「偷」手機個資 自由時報電子報
趨勢科技發佈最新報告指出,最新偵測到一款名為「Facestealer」的惡意間諜程式,會偽裝成不同類型名稱的免費應用程式,在Google Play 商店上引誘下載,再暗中竊取手機憑證的權限。
150萬個App恐存被駭漏洞!蘋果、Google準備刪除「不更新」App 自由時報電子報
根據市調公司Pixalate報告統計,至2022年第一季,Google Play和蘋果App Store上兩年多沒更新的App多達逾150萬個,其中以教育、參考、遊戲類別為大宗。
有社群帳號就能註冊!LINE推出NFT錢包Dosi Wallet 數位時代
看好NFT(非同質化代幣)商機,社群巨頭LINE針對全球市場推出NFT平台「DOSI」,今(17)日宣布推出錢包服務「DOSI Wallet」。
蘋果新政策:開發者不需經用戶同意,可自行調漲訂閱服務價格 數位時代
在此之前,若開發者因為成本或服務調整等因素,必須調漲訂閱服務價格的話,必須先讓用戶手動同意價格調漲,否則原本訂閱服務將不會自動續訂。但在新使用政策中,開發者一樣必須先向用戶寄發價格調漲通知信,但蘋果將允許在會員沒有回覆的狀況下,就直接讓訂閱服務直接以調漲後價格續訂,而用戶如果不接受調漲價格,就必須手動退訂。
iOS 15.5釋出!修補34個資安漏洞 蘋果呼籲「儘快升級」 今日新聞
蘋果開發者大會WWDC 2022將於6/6展開,沒意外的話,將會公布最新一代作業系統iOS 16,在WWDC前則有iOS 15.5正式版本的推出,相較於iOS 15.4加入了口罩解鎖功能,在防疫情相當受用,iOS 15.4推出時就吸引用戶第一時間升級。而這次iOS 15.5版本,主要以安全性的提升和其他功能的優化。此版本將會修正34個安全漏洞,為了避免iPhone受到攻擊,官方也建議盡快更新到最新版本。
iPhone 關機也沒用!駭客仍能經低功耗模式遠端監控入侵 科技新報網
遺失或遭竊的 iPhone 手機,即使電源遭到關閉,仍能透過 Find My 功能進行定位,這是因為手機中的晶片仍在關機後持續以所謂的低功率模式(Low-Power Mode,LPM)運行的緣故。但這個始終開機(Always-on)機制一旦遭駭客濫用,後果將不堪設想。
【事實釐清】網傳簡訊「您為COVID-19確診個案,請前往自主回報系統網站並核對個人資料後,主動回報密切接觸者…」? 雅虎奇摩
查核中心5月18日採訪新北市衛生局,新北市衛生局說,確診者若已被醫院通報至法定傳染病系統後,中央政府會發送給確診者自主回報系統簡訊,發訊的手機號碼為「0911514588」,民眾可透過號碼辨識。
駭客可遠端解鎖特斯拉還開走!研究員推估:至少 200 萬輛受威脅 自由時報電子報
全球賣最好的電動車品牌 Tesla,驚傳藍牙技術的門鎖有漏洞,讓駭客可以解鎖車門上車,直接把車開走,估計至少有 200 萬輛 Tesla 電動車受到威脅。
研究指稱許多網站在使用者還沒提交前,就已外洩所輸入的內容 iThome
研究人員調查發現,有些網站在使用者輸入表單但並未提交之前,追蹤器就得以取得相關內容,例如電子郵件帳號與密碼。而蒐集這些網站未提交表單的第三方追蹤器來自於不少知名業者,包括Adobe、Oracle、Salesforce、Meta與TikTok等。
英特爾修補10多項晶片韌體高風險漏洞 iThome
在所有受影響的產品中,IPU-BIOS存在11項漏洞,包括輸入驗證不當(CVE-2021-0154)、越界寫入(CVE-2021-0153)、存取控制(CVE-2021-33123)及未捕捉例外CVE-2021-0190(Uncaught exception)等4項風險等級8.2的漏洞,後果為造成攻擊者擴張權限或資訊洩露。另5個漏洞則涉及本機權限升級(LPE),風險值在7.4到7.9之間,分別為CVE-2021-33122、CVE-2021-0189、CVE-2021-33124、CVE-2021-33103、CVE-2021-0159。
盤點LINE熱門假訊息 這則防疫偏方被轉傳最多 台灣蘋果日報網
Gogolook公布最新觀察,在今年4月底疫情逐漸失控下,許多未經科學證實的新冠肺炎治療與防疫方法受到大量轉傳,如食用大蒜水、吸蒜泥、食鹽水漱口防疫,甚至包含「使用碘酒漱口、用烈酒噴向喉嚨深處」等,其中據美玉姨統計,「煮沸大蒜水治療新冠肺炎」位居疫情偏方謠言之首。
「零信任」(Zero Trust) 並非新的概念,它早已存在十年以上,最早是由 Forrester 在 2010 年率先提出。自此之後,零信任便被視為一種完美的網路資安方法。然而 DevOps 講究的是靈活性和速度,那麼要怎樣實施零信任方法才不會影響開發時程?
國教署「英語資安達人」即起報名至6/17 獎金禮券等你拿 桃園電子報
隨著網路蓬勃發展,網路安全也越來越受到重視及討論。教育部國教署「Cool English 英語線上學習平臺」與趨勢科技合作,針對全台普技高學生推出「Cool English X趨勢科技-英語資安達人活動」,將英文及資安知識融入競賽中,讓同學同時增進英文閱讀能力與強化網安意識。
推特上充斥「機器人」讓收購暫緩!馬斯克端解法:抽樣100粉絲揪假帳號 數位時代
馬斯克收購推特的動作持續暫停,當地時間17日,他在推文上指出,「假帳號比例比推特聲稱的小於5%還要高很多,應該有20%甚至更多」、「昨日,Twitter的執行長無法證明帳號比例小於5%,因此這筆交易暫時無法進行,直到他端出證據」。
80% 都冒牌貨,加密市場 OpenSea 因 NFT 打擊仿冒品 科技新報網
OpenSea 11 日宣布開始打擊仿冒品,一方面要更新帳戶驗證和收藏徽章系統,擴大有資格取得驗證的創作者數量,另外還推出辨識刪除減少「copymints」(複製品)的系統。
網站稱「買NFT還能抽捷運宅」 3大建商澄清:無合作關係 中央通訊社
「空頭夢想家」網站聲稱,買NFT可抽價值新台幣1300萬元的捷運住宅,並將國內外多家知名建商列為合作夥伴,已遭到遠雄、長虹、麗寶聲明澄清無合作關係,提醒投資民眾提高警覺。
F5 BIG-IP 設備驚爆史上最嚴重安全漏洞,即使設備修復駭客仍可持續控制 科技新報網
應用交付解決方案供應商 F5 旗下 BIG-IP 系統的 iControl REST 管理介面發現重大安全漏洞,駭客可透過根系統權限,遠端執行任意系統指令,完全控制 BIG-IP 網路設備,安全嚴重性等級達史無前例的 9.8(滿分 10)。由於全球最大及最敏感網路莫不採用 BIG-IP 設備存取控制、負載平衡、應用安全防護及流量管理、檢測與加密等作業,影響層面之廣,同時引發安全研究人員與駭客關注。
駭客利用熱門Roblox程式工具散布木馬 iThome
安全廠商Avanan今年3月底發現一個鎖定Roblox用戶的惡意檔案,他們在某家客戶的OneDrive帳號掃瞄到該檔並及時封鎖。這波攻擊應是Roblox的合法軟體被駭客注入惡意檔案,包括一個木馬程式,欲藉下載過程進入Windows 用戶電腦。
跡象顯示勒索軟體REvil駭客組織復活 iThome
Secureworks 研究人員發現勒索軟體 REvil 近日又在網路上散布,指出俄語論壇市集 RuTOR 公布新的 REvil 洩密網站,兜售新版 REvil 勒索軟體及招募同謀,以及張貼20多家受害企業名單及外洩資料。
Meta商業和金融技術主管Stephane Kasriel前(11)日宣布,能在FB、IG、WhatsApp和Messenger使用的FB Pay,即將更名為Meta pay。Kasriel表示,單一錢包的制度能使用戶探索元宇宙時更加便利,也擴大元宇宙跨平台支付的市場。
「資工人才」含金量驚人 碩士、大學薪資差距2.25倍 經濟日報網
日前驅動IC大廠「聯詠」員工親自揭露進帳1120萬分紅獎金,引發一片熱議。其實,科技業的高含金量已是眾所皆知,而根據1111人力銀行今(13)日公布的最新調查再進一步發現,大學、碩士薪資差距竟多達2.25倍。
Zoom 新 AI 分析功能引起 25 家人權團體眾怒,最後通牒為 5/20 科技新報網
4 月雲端視訊會議平台 Zoom 宣布推出 Zoom IQ 新功能,會後 AI 分析說話者情緒,專為銷售人員設計。分析後提供與會者參與度或耐心等指標,以為改善溝通與交易依據,但抗議團體警告,新功能可能導致偏見,並有侵犯個人隱私的風險。
投資加LINE詐騙猖獗 「謝金河—數字台灣」小編深夜公告:周杰倫加你你會信嗎? 太報
近來投資詐諞事件頻傳,許多詐騙集團利用社群通訊軟體LINE假冒投資名人,招攬民眾加入群組,再以「穩賺不賠」等話術吸金,讓投資人血本無歸。「謝金河—數字台灣」臉書專頁小編12日深夜再度發公告,強調所有以謝社長名義的LINE帳號都是假帳號,請民眾切勿受騙上當。
一頁式廣告賣快篩只要92元 警:林右昌、陳時中遭盜圖成詐騙「代言人」 新頭殼
我國本土疫情嚴峻,快篩試劑的需求量也激增。有不肖業者卻盜用基隆市長林右昌示範快篩試劑的畫面,以及指揮中心指揮官陳時中在防疫記者會的照片,在臉書一頁式廣告販售快篩,吸引民眾購買。快篩試劑屬於第三級醫療器材,不得擅自販售,基隆市警局對此已展開偵查,並呼籲民眾避免購買一頁式廣告商品。
無密碼登入、強制兩步驟驗證!Android 用戶將有五項安全變革 自由時報電子報
Google 在Google I/O 開發者大會中,發表一系列 Google 安全相關新機制,包括會在 App 中提示用戶帳號的安全性、原本用於 Gmail的網路詐騙及惡意軟體防護機制也會擴大支援至 Google 文件、試算表及簡報。同時Google 未來將採用自動註冊的兩步驟驗證,推動所有 Google 帳戶都能啟用兩步驟驗證機制,提升帳號的安全性。
【台灣資安好棒棒?】下載到舊版 Log4j 的比例,台灣贏了世界各國 科技報橘網
根據資安業者 Sonatype 公布的下載追蹤資料,最近 4 個月以來,台灣下載到舊版 Log4j 的比例高達 8 成以上,與其他國家相比比例相當高,且這樣的狀況是自 2021 年底以來持續維持至今,甚至還有升高趨勢。
謠言終結站》填寫問題抽1萬超市禮券? 其實是詐騙網站! 自由時報電子報
網路近期流傳一連結,該連結顯示「1萬超市禮券抽獎網站」,並要求填寫問題才能領取禮券。對此,查核中心證實,網傳連結為詐騙網站,並非真實的抽獎活動。
突圍雲地資安風險,AWS提出三大混合雲防護關鍵 CIO IT經理人
AWS在台舉辦資安說明會,提出三大混合雲的資安建議,其中建議利用AWS合作夥伴提供的安全及合規解決方案以多層保護資訊與數據安全,並指出趨勢科技是解決方案的提供者之一,為客戶提供在AWS上自動化、彈性且全方位的資安防護,目前多項方案已在第三方軟體平台AWS Marketplace上架。
SEMI E187 訂下半導體資安標準,為何這可能是台灣半導體設備商競爭力突破點? 科技報橘網
台灣首個半導體晶圓設備資安標準 SEMI E187是少數由台灣主導制定的全球性產業標準之一,TXOne Networks執行長、同時也是 SEMI 台灣半導體資安委員會成員的劉榮太指出,這項標準的建立猶如建構了一套信賴機制,半導體業者可以相信供應商交出的設備是安全的,在外商幾乎壟斷台灣半導體設備市場的情況下,資安可以是台灣設備廠商的突破點。
Google Cloud新服務將提供經安全驗證的開源套件 iThome
Log4j漏洞問題引發應用程式開發的供應鏈安全問題,Google今(18)日宣布名為保證開源軟體(Assured Open Source Software)的服務,可協助企業或開發商取得經過Google漏洞檢查及簽章的開源套件,這項服務預計今年第3季開放測試。
Google夏季將釋新版Android Auto 納入Android L設計概念 聯合新聞網
在Google I/O 2022期間,Google 宣布將在今年夏季釋出新版 Android Auto 作業系統,並且將採用全新介面設計,可原生對應不同車載系統螢幕顯示比例、尺寸規格,讓使用者能更直覺操作。
Google I/O 2022 開發者大會:使用 Android 跨裝置完成更多事 史塔夫科技事務所
將科技帶進生活,應該讓你的每一天都過得更加輕鬆方便。但是,如果裝置無法預測你一整天的需要,也不能流暢地在各項活動間切換,就無法實現輕鬆方便的生活。我們一直致力於為你提供更多簡單、有幫助的方法,讓你的不同裝置可以更流暢的整合、運作。
微軟加碼在台投資 透過首座微軟雲端資料中心培育數位轉型人才 經理人網
「哪裡可以找人才?」這是近年來企業管理者最頭痛的問題,隨著數位轉型計劃的推進,企業需要更多擁有數位能力的跨領域人才,這樣的人才原就不易尋覓,而COVID-19疫情更加深了企業的求才難度。
微軟昨(17)日宣布,將跟進Google、Salesforce、IBM等科技公司的環保行列,推出「Microsoft Cloud for Sustainability」的新功能,該功能使用一套測量設備來收集數據,然後利用微軟雲端的數據收集服務來處理,能幫助公司收集關鍵數據以了解其對環境的影響,同時尋找減少碳排放並實現永續發展的方法。
微軟針對加密錢包的「Cryware」資訊竊取惡意軟體發出警告 鉅亨網
金色財經消息,微軟警告稱,針對聯網加密貨幣錢包的新威脅正在出現。微軟將這種新威脅稱為「cryware」,這些攻擊通過向對手控制的錢包進行欺詐性轉移,導致虛擬貨幣不可逆轉地被盜。微軟365防禦研究團隊的伯曼·恩科納多(Berman Enconado)和勞里·柯克(Laurie Kirk)在一份新報告中表示,Cryware是直接從非託管加密貨幣錢包(也被稱為熱錢包)收集和竊取數據的資訊竊取者。與託管錢包不同,熱錢包是儲存在本地設備上的,可以更容易地獲取執行交易所需的加密密鑰,因此越來越多的威脅正針對它們。
微軟與財團法人電信技術中心雙管齊下推動5G專網資安 電子時報網
5G專網在企業及產業垂直應用的潛力可期,但與資安相關的高可靠性要求也隨之倍增。財團法人電信技術中心與台灣微軟攜手建立5G專網資安監測中心(Security Operation Center;SOC)及混合雲管理平台,完整涵蓋資安、基礎架構與內容等不同層面,強化支援在地的5G產業鏈及未來可與5G互補的低軌衛星夥伴。透過雙方的合作關係,財團法人電信技術中心不僅能在雲原生技術與時俱進,同時有助於5G產業鏈的國產化、打造5G產業應用及強化數位韌性。
微軟大撒幣留才!宣布加薪預算近翻倍,員工年度配股調高 25% 科技新報網
通膨導致生活成本增加、住房市場緊張,加上必須與亞馬遜、Google、Meta 等科技巨頭進行人才爭奪戰,微軟執行長 Satya Nadella 宣布,計劃為 67 級及以下員工提高至少 25% 年度配股,而微軟的全球績效預算幾乎翻倍成長,為職涯早期和中期及特定地區的員工分配更多獎金。
內建VPN的微軟Edge瀏覽器正式釋出測試版 iThome
微軟4月底預告Edge瀏覽器將新增名為Secure Network 的VPN功能,先是將預覽版提供給一小群用戶取得初步回饋和建議,現在正式將包含Secure Network的版本,釋出給Edge的Canary頻道。微軟邀請用戶利用內建的控制開、關Secure Network試用。
微軟 5 月「週二修補程式日」更新出紕漏!網上陸續傳出 AD 認證失敗災情 科技新報網
最近有企業在 5 月 10 日微軟「週二修補程式日」(Patch Tuesday)完成最新更新修補後,結果引發 Windows 伺服器認證失效問題,包含用戶端或伺服器端 Windows 平台,以及所有 Windows 版本系統(包括最新 Windows 11 及 Windows Server 2022)都受到影響。
台灣世界展望會致力幫助國內外弱勢兒童、家庭及社區一同克服貧窮與壓迫,邁向自立與創造自我價值。然而隨著服務量能不斷提升,紙本作業已無法應付現今公益需求,因此世界展望會與微軟於 2021 年啟動數位轉型計畫,運用微軟雲端平台與 Surface 行動載具,將數量龐大的捐贈募集和個案資料數位化,實現安全的系統化管理,並建置即時系統讓超過 600 位志工的調度更有效率。數位轉型讓愛心援助不再受地理限制,資助人的關懷能夠無礙傳遞到受助孩童。
研究人員揭露重大的BLE漏洞,舉凡支援接近解鎖功能的汽車、門鎖或筆電都可能遭駭 iThome
NCC Group公布一項低功耗藍牙(BLE)安全漏洞,能攻陷所有以BLE作為接近身分認證的裝置,包括Tesla Model 3以及Kwikset/Weiser旗下Kevo系列的智慧門鎖。
CVE-2022-26923:Active Directory 網域權限提升漏洞運用分析 iThome
Tenable安全應變團隊發布微軟五月第二週的漏洞修補文章中詳細說明了本月微軟修復的多個嚴重漏洞,其中就有Active Directory網域權限提升漏洞(CVE-2022-26923 )允許較低權限用戶在安裝了Active Directory認證服務(AD CS)的服務環境中,從一般權限用戶提升至網路管理員權限。
【資安日報】2022年5月18日,WordPress外掛程式Tatsu Builder遭到大規模攻擊、macOS惡意軟體UpdateAgent出現變種 iThome
WordPress外掛程式Tatsu Builder的漏洞遭到駭客鎖定,並針對140萬網站出手;再者,鎖定蘋果電腦的惡意軟體UpdateAgent的發展,也引起資安人員的關注。
【資安日報】2022年5月17日,駭客同時利用3種竊密軟體偷取受害電腦資料、微軟先前修補的SharePoint漏洞被發現有繞過的方法 iThome
駭客同時在受害電腦植入3種竊密軟體,很可能是要藉此收集更多的帳密資料;再者,微軟曾於二月修補的SharePoint漏洞CVE-2022-22005,研究人員指出可以被輕易繞過,本月例行修補已經針對這個問題提出緩解方法。
多國警告 MSP 面臨網路安全威脅 科技新報網
五眼聯盟(美、英、澳、紐及加拿大)政府安全機構最近警告「有國家支持的高級持續性威脅(APT)組織,以及其他惡意駭客將增加攻擊 MSP,目標有供應商和客戶網路」。代表 MSP 業者及客戶都需多加防範,管理監測第三方供應商是否有安全漏洞或異常。
未來兩年將有1.5億資金投入開源碼安全問題 iThome
美國政府、Linux基金會、開源安全基金會以及37家業者,在開源軟體安全高峰會上訂出開源軟體十大問題,並承諾投入1.5億美元經費予以解決。
製造業邁向智慧創新升級 雲端管理與資安整合成新挑戰 電子時報網
面對消費市場需求快速變化,加上全球供應鏈重組趨勢,帶動製造業大步邁向智慧製造,以便維持在產業中的競爭力。根據TrendForce 研究報告指出,2021年全球智慧製造市場規模達3,050億美元,預期2025年將成長到4,500億美元,年複合成長率為 10.5%。然而要推動轉型專案,除要優化基礎架構、產線流程之外,也必須重新規劃管理模式、強化資安防護等面向,才能兼顧營運效率與資料保護等目的。
與歐盟同步!「數通法」草案預訂6月底對外公布 中央廣播電臺
國家通訊傳播委員會(NCC)主任委員陳耀祥今天(16日)表示,隨著全球、包括歐盟都在逐漸加強網路治理或監理的規範,歐盟的「數位服務法」也已大致成形,NCC正積極研擬的「數位通訊傳播服務法」草案也將與歐盟同步、於6月底對外公布,除了強化網路平台的責任、也將處理許多國際性的廣告分潤或犯罪議題。
駭客已著手開採合勤防火牆的CVE-2022-30525漏洞 iThome
非營利資安組織Shadowserver Foundation周日(5/15)警告,已於13日看到駭客試圖開採位於合勤防火牆中的CVE-2022-30525安全漏洞,呼籲使用者儘快修補。
【資安日報】2022年5月16日,駭客組織SideWinder橫行歐亞、殭屍網路Sysrv鎖定Spring框架和WordPress漏洞下手 iThome
自上週末到星期一重要的資安新聞裡,研究人員揭露駭客組織SideWinder的攻擊行動相當值得注意。該組織於最近2年就發動近千次的攻擊行動,頻率極高,範圍也從一開始針對中亞,已經擴及歐洲、亞洲等區域。
NIST發布新版《網路安全供應鏈風險管理指南》,聚焦18個C-SCRM安全控制面向 iThome
美國國家標準暨技術研究院(NIST)發布SP 800-161r1標準文件,是更新版的網路安全供應鏈風險管理指南,目的是協助企業了解各級供應鏈的認識,以及辨識、評估與應對其網路安全風險,成為供應鏈安全重要參考。
5G滲透率 全球排名坐四望三 經濟日報網
2022年台灣電信業者將展開整併,同時持續衝刺5G用戶,電信三雄中華電信(2412)、台灣大、遠傳今年5G滲透率要衝30%,台灣之星及亞太也積極拓展5G用戶。業界樂觀預估,在5G手機與應用加持下,今年全台5G用戶可望超過750萬、挑戰800萬,滲透率達30%,在全球排名有機會坐四望三。
國人Q1狂刷7,826億 史上新高 工商時報電子報
疫情大爆發,2022年國人持續因為不能出國旅遊,在國內狂刷卡消費。金管會銀行局副局長童政彰12日公布最新國人刷卡統計,截至2022年3月底止,國人信用卡當月簽帳金額約2,822億元、今年首季簽帳金額累計已衝7,826億元,不管是單月還是首季雙雙創下歷史同期新高。
【資安日報】2022年5月13日,後門程式BPFDoor鎖定Linux與Solaris電腦而來、Zyxel修補防火牆遠端命令注入漏洞 iThome
隱匿長達5年的Linux後門程式BPFDoor,因能協助攻擊者繞過防火牆的過濾機制,引起資安人員高度關注,再者,Zyxel近期修補旗下防火牆產品的重大漏洞,但在發布修補程式與進行公告的做法上,引來爭議。
合勤修補多個防火牆裝置的安全漏洞 iThome
臺灣合勤科技(Zyxel)於本周修補了影響USG FLEX系列、ATP系列與VPN系列等防火牆裝置的安全漏洞CVE-2022-30525,這是一個作業系統命令注入(OS command injection)漏洞,將允許未經授權的駭客變更特定檔案,並於受害裝置上執行某些作業系統命令。
OpenSea 推出多項新措施打擊假 NFT Engadget中文版
NFT 交易平台OpenSea 推出一系列多項新措施打擊假 NFT,包含在 NFT 內容上載時透過圖像辨識技術和人工審核、向已經持有至少價值 100 ETH 的 NFT 的創作者發出帳戶認證等。希望藉此增加虛假帳戶的開設成本,同時減少假 NFT 的出現。
車聯網啟動更安全、高效率的智慧交通新時代 電子工程專輯
要實現未來智慧城市,建構更安全、高效率的交通環境不可或缺,而具備連網與各種先進功能的智慧車輛則是其中的關鍵。在4月下旬與台北國際車用電子展同期舉行、由中華民國對外貿易發展協會(TAITRA)與EE Times/EDN Taiwan出版集團ASPENCORE共同主辦的「智慧連網車輛技術研討會暨國際論壇」,特別聚焦於以智慧車輛與智慧交通基礎建設為主角的所謂車聯網(Internet of Vehicle,IoV)相關應用,從處理器、連結技術、車用通訊、記憶體、資安與測試等不同角度,邀請業界重量級廠商分享最新技術與市場趨勢。
【資安日報】2022年5月12日,鎖定德國企業的NPM惡意套件竟是資安業者所為、駭客利用IceApple工具包攻擊Exchange伺服器 iThome
有資安業者為了提供客戶真實攻擊情境,竟然在NPM上架惡意套件!再者,有攻擊者製作了專門針對Exchange的攻擊工具也相當值得留意。
HP修補波及逾200款裝置的BIOS漏洞 iThome
HP旗下筆電、桌上型電腦、POS、工作站與Thin Client等逾200款裝置,都受到本周修補的BIOS漏洞影響,該漏洞允許具備核心權限的駭客擴張權限至系統管理模式。
加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上
