跳到主要內容

資安新聞及事件週報 2016/8/22 ~ 2016/8/26

**1.重大弱點漏洞:**
  思科修復了NSA黑客洩漏的0day漏洞
  http://fanli7.net/a/ITxinwen/hulianwang/20160820/572552.html

  思科開始修補遭「方程式」鎖定的漏洞
  http://www.ithome.com.tw/news/107916

  蘋果釋出iOS 9.3.5,緊急修補3個竊取資料的零時差漏洞
  http://www.ithome.com.tw/news/107939

  phpMyAdmin 漏洞 CVE-2016-6627
  https://www.phpmyadmin.net/security/PMASA-2016-50/


  Fortinet FortiVoice存在多個漏洞
  http://www.securityfocus.com/bid/92455

  Cisco發佈多項產品安全更新
  https://www.us-cert.gov/ncas/current-activity/2016/08/20/Cisco-Releases-Security-Updates

  Fortinet FortiGate緩衝區溢出漏洞 CVE-2016-6909
  http://fortiguard.com/advisory/cookie-parser-buffer-overflow-vulnerability

  IBM Domino 8.5.1 Execute Code Overflow Vulnerability
  http://www.securiteam.com/securitynews/5NP352KJGC.html

  Facebook HHVM 整數溢出漏洞和拒絕服務漏洞 CVE-2016-6874
  http://www.securityfocus.com/bid/92415

  AVG Internet Security avgtdix.sys權限提升漏洞
  http://www.securityfocus.com/bid/92540

  Citrix XenApp/XenDesktop內存權限安全漏洞(CVE-2016-6493)
  http://support.citrix.com/article/CTX215460

  VMware 多個產品存在安全性弱點
  http://www.vmware.com/security/advisories/VMSA-2016-0010.html

  Apache Sentry任意代碼執行漏洞(CVE-2016-0760)
  http://mail-archives.apache.org/mod_mbox/sentry-dev/201608.mbox/%3CCACMN7ixDqDyOZGLEvsMUVHBiJ6crq8zdy%2B2mNfRooNhnk7CJ1g%40mail.gmail.com%3E

  VMware Identity Manager 及 vRealize Automation 多個漏洞 CVE-2016-5335 CVE-2016-5336
  http://www.vmware.com/security/advisories/VMSA-2016-0013.html

  Win 10又曝系統漏洞:Kindle連接就藍屏
  http://news.cnyes.com/news/id/2165307

  警惕!智能路由或存在多個安全漏洞
  http://digi.163.com/16/0823/06/BV4P2RGG0016192R.html

  微信現任意代碼執行漏洞攻擊者可獲取完全控制權
  http://www.yixieshi.com/49806.html

  Omegle Lets Anyone Access Your Anonymous Chats
  http://news.softpedia.com/news/omegle-lets-anyone-access-your-anonymous-chats-507527.shtml

  Microsoft Windows xxxInsertMenuItem Out-Of-Bounds Access Privilege Escalation Vulnerability
  http://www.zerodayinitiative.com/advisories/ZDI-16-453/


**2.資安事件新聞:**
**A.病毒木馬:**
    勒索病毒侵台居亞洲第二,僅次日本
    http://blog.trendmicro.com.tw/?p=27423

    使用拋棄式電子郵件信箱服務的 R980 勒索病毒
    http://blog.trendmicro.com.tw/?p=26764

    芬安全F-Secure發表最新試驗報告 關於勒索軟體你或許不知道的事
    http://www.cna.com.tw/postwrite/Detail/199317.aspx

    小心別中! 勒索病毒愛台灣
    http://udn.com/news/story/6/1918902
     
    趨勢科技:APT 攻擊、勒索軟體成臺灣企業資安大威脅
    http://technews.tw/2016/08/26/trendmicro-apt-attack-ransomware-is-the-threat-of-taiwan-enterprise/

    比特幣助長勒索軟體氾濫,2016 年成長高達四倍
    http://technews.tw/2016/08/24/bitcoin-help-spread-the-threat-of-ransomware-quadrupled/

    CrowdStrike Machine Learning and VirusTotal
    https://www.crowdstrike.com/blog/crowdstrike-machine-learning-virustotal/

**B.行動安全:**
    Opera VPN服務登陸Android平臺,能翻牆也能幫你檢測Wi-Fi網路安全性
    http://www.ithome.com.tw/news/107911

    Android 7.0「牛軋糖」正式版出爐了!
    http://www.ithome.com.tw/news/107877

    蘋果資安出問題? 英國律師收到駭客連結
    http://www.101newsmedia.com/news/25960

    蘋果發佈軟件更新應對「一鍵感染」間諜軟件
    http://www.bbc.com/zhongwen/trad/world/2016/08/160825_apple_ios_security_flaws

    iPhone 出現嚴重安全漏洞!一 Click 連結即被越獄及安裝惡意軟件
    http://unwire.hk/2016/08/26/ios-security-flaws/mobile-phone/

    Update your iPhones, iPads right now – govt spy tools exploit vulns
    http://www.theregister.co.uk/2016/08/25/update_your_ios_devices_now_theres_an_apt_in_the_wild/
       
**C.事件:**
    美國攻擊全球的網路「武器庫」遭襲
    http://news.sina.com.tw/article/20160820/18349477.html

    新手法,駭客利用VM隱藏惡意行為
    http://www.cert.org.tw/twcert/newsdetail/2859

    駭客竊天貓、珀萊雅個資 轉售詐騙集團
    http://news.tvbs.com.tw/local/670099

    資安攻防培訓 3百人踴躍報名
    http://times.hinet.net/news/19249958

    紐約時報遭駭客企圖入侵,FBI介入調查
    http://www.ithome.com.tw/news/107904

    了解重要基礎設施的受攻擊面
    http://blog.trendmicro.com.tw/?p=26560

    美資安公司:亞太企業遇駭反應慢半拍
    http://www.taiwannews.com.tw/etn/news_content.php?id=2970812

    印度委外潛艇製造商遭駭,2.2萬頁機密文件外流
    http://www.ithome.com.tw/news/107917

    影子掮客公布的攻擊工具確實來自美國國安局
    http://www.ithome.com.tw/news/107854

    Epic Games論壇遭駭,80萬用戶資料外洩
    http://www.ithome.com.tw/news/107909

    陸網軍 駭入國防大學竊資料 助教下載檔案 遭植後門程式 幸未洩密
    http://www.appledaily.com.tw/appledaily/article/headline/20160821/37355175/

    88個金融類APP被曝10大隱患 安全漏洞亟待打補丁
    http://news.sina.com.tw/article/20160821/18349771.html

    國內銀行投保資安險 掛蛋
    http://www.chinatimes.com/newspapers/20160822000063-260205
  
    資安區域聯防 金融入列
    http://money.udn.com/money/story/5613/1915041-%E8%B3%87%E5%AE%89%E5%8D%80%E5%9F%9F%E8%81%AF%E9%98%B2-%E9%87%91%E8%9E%8D%E5%85%A5%E5%88%97

    IBM:從北美數間銀行盜走數百萬美元的金融木馬GozNym已蔓延到德國
    http://www.ithome.com.tw/news/107905

    泰國銀行ATM遭駭被盜領1229萬泰銖,恐與一銀案背後為同一犯罪集團
    http://www.ithome.com.tw/news/107920

    保費僅688萬 資料保護險 上半年賣不到20張
    http://www.chinatimes.com/newspapers/20160822000065-260205

    補漏洞 金管會:明年成立金融資安中心
    http://www.chinatimes.com/realtimenews/20160822003513-260410

    一銀盜領案事件後 存保:資安控管不佳者保費調高
    http://www.chinatimes.com/realtimenews/20160822003244-260410

    「抓漏」或是「駭」? 金融資安中心通報平台補破網
    https://www.cmmedia.com.tw/home/articles/%E3%80%8C%E6%8A%93%E6%BC%8F%E3%80%8D%E6%88%96%E6%98%AF%E3%80%8C%E9%A7%AD%E3%80%8D-%E9%87%91%E8%9E%8D%E8%B3%87%E5%AE%89%E4%B8%AD%E5%BF%83%E9%80%9A%E5%A0%B1%E5%B9%B3%E5%8F%B0%E8%A3%9C%E7%A0%B4%E7%B6%B2

    銀行業運用金融科技主要資安議題探討
    http://www.chinatimes.com/newspapers/20160823000238-260210

    強化資安 中央存保辦座談
    http://www.chinatimes.com/newspapers/20160823000236-260210

    FinTech的挑戰 App化有資安風險
    http://udn.com/news/story/6/1913851

**D.研究報告:**
    基於鏡像流量的漏洞挖掘思路
    http://www.itdadao.com/articles/c15a228370p0.html

    黑客實戰IIS服務器的漏洞攻防
    http://www.weixianmanbu.com/article/450.html

    利用MSF技巧進入服務器
    http://www.bugbank.cn/pwn/detail/57ba9a5be0d49b8e580c7f29.html

    NSA Equation Group洩露的天融信產品漏洞分析
    http://www.qingpingshan.com/pc/aq/125153.html

    必虎路由器大量高危漏洞分析
    http://www.freebuf.com/news/112626.html

    禁用Js獲取權限(愛情動作片站點實例講解)
    http://www.exp1oit.com/js-console.html

**E.商業:**
    Mozilla投資德國反追蹤瀏覽器開發商Cliqz ,加強網路瀏覽隱私安全性
    http://www.ithome.com.tw/news/107910

    Google兩年內將終止Windows、Linux、Mac版Chrome App
    http://www.ithome.com.tw/news/107856

    重新思索資安架構 以新思維、新技術禦知未來
    http://news.networkmagazine.com.tw/classification/security/2016/08/23/67142/

**F.其他:**
    頂級駭客們 最感興趣的東西是這些
    http://www.nownews.com/n/2016/08/20/2206852?from=fb_news

    日本擬新設培訓機構 強化基礎設施防禦駭客攻擊
    http://big5.chinanews.com/gj/2016/08-22/7980152.shtml

    使用對嘴自拍影片應用程式: Dubsmash 和 Musical.ly 的三項兒童隱私保護祕訣
    http://blog.trendmicro.com.tw/?p=26509

    智慧電表全民化 明年啟動
    http://money.udn.com/money/story/5648/1917563-%E6%99%BA%E6%85%A7%E9%9B%BB%E8%A1%A8%E5%85%A8%E6%B0%91%E5%8C%96-%E6%98%8E%E5%B9%B4%E5%95%9F%E5%8B%95
   
    刷臉解鎖很安全?這些“駭客”要顛覆你的認識
    https://news.xfastest.com/%E5%85%B6%E4%BB%96/24868/hackers-trick-facial-recognition-logins-photos-facebook/

**3.近期資安活動及研討會**

  黑魔法防禦術1-2 - 主機防禦基礎 2016/08/28 15:00~17:00
  http://tdohackerparty.kktix.cc/events/realdefense1-2

  Veeam Solution Day 2016  9 月 6 日 08:00-16:30(08:00 開始報到)
  http://www.gwms.com.tw/veeamsolutionday/index.html#agenda

  2016網路交易安全趨勢論壇 9月7日
  http://www.accupass.com/event/register/1608171008481403172482

  數位轉型首要挑戰-三大防禦術.隔離資安威脅 9/9 (五)  13:00 PM
  https://www.microsoftevents.com/profile/form/index.cfm?PKformID=0x426988fd82&wt.mc_id=AID532370_QSG_PD_EML_11468

  Container Summit 2016 9/21(三)~9/22(四) 09:00~17:00
  http://www.ithome.com.tw/seminar

  【課程】PM2.5空氣偵測器(含顯示螢幕)實作,硬體組裝、寫 Arduino 程式、資料上傳雲端,一天學會
   http://www.techbang.com/posts/45588-course-arduino-the-air-sensor-implemented

   HITCON 2016 Call for Training - Terms and Conditions
   http://blog.hitcon.org/2016/08/hitcon-training-en.html

留言

這個網誌中的熱門文章

Capture the flag資源分享綜整

Capture the flag, CTF,是由古代軍事戰爭演變而來。軍旗在戰場上象徵兩軍戰況,當有一方軍旗被敵軍奪取或落在地上,代表該方戰敗。當這樣的攻防搶旗演變到現代的電子遊戲裡,通常就演變成團隊遊戲模式,由兩隊人馬互相前往對方的基地奪旗,奪旗成功回合次數多者得勝。

8月份資安社群及教育訓練活動分享

8月份資安社群及教育訓練活動分享

 HITCON HackDoor 駭入辦公室 7/2 ~ 9/28
 https://www.accupass.com/event/1906050355291064968019

 The Virus Bulletin Conference 2019 8/1
 https://www.virusbulletin.com/blog/2019/06/free-vb2019-tickets-students/

【社群】8/1(四) RASPBERRY PI + ROS,實現無人自駕
 https://ctsphub.tw/20190801_robotnight/

 HackingThursday 固定聚會 8/1
 https://www.meetup.com/hackingthursday/events/vkhnnqyzlbcb/

 資安事件調查實務(上)  8/2
 https://tp2rc.tanet.edu.tw/node/306?fbclid=IwAR11YQmw-28fOA6LUrsNiFKd7ccaAiMa5cZsYf22iRfTUR5LPYXwjqZNo2I

 【CIT週末玩程式】- (8月)認識電腦與程式邏輯訓練(I) 8/3
 https://www.meetup.com/Women-Who-Code-Taipei/events/jtcjfryzlbfb/

 Python 基礎工作坊@TMU 8/6
 https://www.meetup.com/Women-Who-Code-Taipei/events/mfnfcryzlbjb/

5月份資安、社群活動分享

5月份資安、社群活動分享

 108年度資安初學者挑戰活動 (MyFirstCTF) 5/1 ~ 5/10 報名
 https://ais3.org/mfctf/

 HackingThursday 固定聚會  5/2
 https://www.meetup.com/hackingthursday/events/vkhnnqyzhbdb/

 Python 商務網站 * 極速學習 (2019春季 - 台北)  5/2
 https://cjltsod.kktix.cc/events/django-2019-spring-taipei

 國票金控「純網銀鯰魚與資安技術漣漪」日本樂天技術結合台灣AI 人工智慧發表會  5/2
 https://www.accupass.com/event/1904111400151860776797

 資安法 X 技術實務論壇  5/2
 https://csa.kktix.cc/events/csa190502

 國立交通大學 亥客書院 - 基礎網站安全建構實務  5/4
 https://hackercollege.nctu.edu.tw/?p=1045

 ISDA 白帽菁英萌芽計劃II 0505 
 https://reg.shield.org.tw/info.php?no=54

 Pwn入門  5/5
 https://hackersir.kktix.cc/events/fcu190505

 Elixir台灣 台北 Meetup # Monday, May 6, 2019
 https://www.meetup.com/elixirtw-taipei/events/njjhvpyzhbjb/

 公部門之AI資安防護新思維研討會 5/7
 http://www.cisanet.org.tw/News/activity_more?id=MTQzOA==

 向資安服務看齊 我們一起讓資安從「有做」到「有效」  5/8 ~ 5/10
 https://www.informationsecurity.com.tw/Seminar/2019_all/

 資安危機 - 進擊的勒索加密軟體 2019-05-09(四) 14:45 ~ 17:00
 https://www.accupass.com/event/19041703435474776…