新發現的 OpenSSL 漏洞帶來潛在的營運中斷風險。
以下是有關本週揭露的 OpenSSL 漏洞您該知道的資訊以及該如何因應
本週揭露的 OpenSSL 漏洞目前仍有許多未知細節有待 11 月 1 日正式公布,不過目前已出現一些雜音和疑慮,同時也是大家預做準備等待進一步細節公布的時機。
OpenSSL 是一個開放原始碼加密功能函式庫,廣泛應用於各種商業及內部應用程式,提供加密以及其他安全與隱私功能。不論是部署在企業內、雲端、軟體服務 (SaaS)、端點、伺服器、IoT 或 OT 環境的應用程式都有它的蹤影。所以,OpenSSL 一旦出現嚴重漏洞,其潛在的營運中斷風險相當高。
ZDI 連續第 15 年持續擴大漏洞揭露市場領導地位
【2022 年 8 月 10 日台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 歡慶 Zero Day Initiative (ZDI) 漏洞懸賞計畫的最新成果,根據市場研究機構 Omdia 指出,ZDI 揭露的漏洞占 2021 年全球通報漏洞總數量近 64%。
請點選以下連結來取得這份完整報告「2022 年量化公開漏洞市場」(Quantifying the Public Vulnerability Market: 2021 Edition):https://www.trendmicro.com/explore/omdia-research。
趨勢科技漏洞研究資深總監 Brian Gorenc 表示:「自 2007 年第一份市場分析報告開始即領先群雄的 ZDI,至今已連續第 15 年持續擴大其漏洞揭露領導地位。我們的漏洞研究不論是預先揭露或事後揭露,在全球無出其右。在與駭客永無止境的競賽當中,我們驕傲地帶領業界以建立一個更安全的數位世界而努力。」
繼續閱讀Data Distribution Service (DDS) 標準是一種機器對機器的即時通訊中介協定,成千上萬的系統每天都必須靠它來運作。
Data Distribution Service (DDS) 標準是一種機器對機器的即時通訊中介協定,成千上萬的系統每天都必須靠它來運作。這項技術確保了醫療、鐵路、自動化系統、機器人、太空船,以及軍事裝備等等公共與私人裝置之間的互通性與容錯性。隨著嵌入式系統與應用程式對即時性的要求增加,此協定的應用也越來越廣。
趨勢科技的研究報告「Data Distribution Service (DDS) 通訊協定的資安分析」(A Security Analysis of the Data Distribution Service [DDS] Protocol) 分析了在產業供應鏈扮演關鍵軟體元件的 DDS 目前的資安現況。這份研究在 6 套常見的 DDS 實作當中找到了 13 個新的漏洞,還有此標準本身的資安弱點。除此之外,DDS 生態系中還有一些部署方面的問題,也可能讓駭客從事其他非法活動,如資料竊取及網路間諜行動。
繼續閱讀Samba漏洞可能會影響家居網路和NAS設備的安全性。電子郵件地址、信用卡資訊等個人資料可能會因此漏洞所導致的資料外洩而洩露。本文提供一些能夠幫你保護裝置和應用程式免於此漏洞影響的建議。
一月底常用的開源軟體Samba釋出了針對三個漏洞的安全修補程式,這些漏洞發生在所有用預設值執行vfs_fruit(用來跟macOS溝通的VFS模組)的Samba版本。
最嚴重的漏洞為CVE-2021-44142,它的CVSS分數為9.9,是一個越界記憶體堆棧讀寫(out-of-bounds heap read/write)漏洞,能夠讓遠端攻擊者在受影響系統以root權限執行任意程式碼。
不能不提的是,Samba漏洞是在我們的Pwn2Own Austin 2021駭客松活動中發現。正如趨勢科技威脅情報副總Jon Clay所說:
「好消息是這是在我們的Pwn2Own活動中發現,這代表我們有機會與開發者合作,負責任地修補和披露漏洞。」
