資安新聞及事件週報 2016/8/22 ~ 2016/8/26

**1.重大弱點漏洞：**
  思科修復了NSA黑客洩漏的0day漏洞
  http://fanli7.net/a/ITxinwen/hulianwang/20160820/572552.html

  思科開始修補遭「方程式」鎖定的漏洞
  http://www.ithome.com.tw/news/107916

  蘋果釋出iOS 9.3.5，緊急修補3個竊取資料的零時差漏洞
  http://www.ithome.com.tw/news/107939

  phpMyAdmin 漏洞 CVE-2016-6627
  https://www.phpmyadmin.net/security/PMASA-2016-50/


  Fortinet FortiVoice存在多個漏洞
  http://www.securityfocus.com/bid/92455

  Cisco發佈多項產品安全更新
  https://www.us-cert.gov/ncas/current-activity/2016/08/20/Cisco-Releases-Security-Updates

  Fortinet FortiGate緩衝區溢出漏洞 CVE-2016-6909
  http://fortiguard.com/advisory/cookie-parser-buffer-overflow-vulnerability

  IBM Domino 8.5.1 Execute Code Overflow Vulnerability
  http://www.securiteam.com/securitynews/5NP352KJGC.html

  Facebook HHVM 整數溢出漏洞和拒絕服務漏洞 CVE-2016-6874
  http://www.securityfocus.com/bid/92415

  AVG Internet Security avgtdix.sys權限提升漏洞
  http://www.securityfocus.com/bid/92540

  Citrix XenApp/XenDesktop內存權限安全漏洞(CVE-2016-6493)
  http://support.citrix.com/article/CTX215460

  VMware 多個產品存在安全性弱點
  http://www.vmware.com/security/advisories/VMSA-2016-0010.html

  Apache Sentry任意代碼執行漏洞(CVE-2016-0760)
  http://mail-archives.apache.org/mod_mbox/sentry-dev/201608.mbox/%3CCACMN7ixDqDyOZGLEvsMUVHBiJ6crq8zdy%2B2mNfRooNhnk7CJ1g%40mail.gmail.com%3E

  VMware Identity Manager 及 vRealize Automation 多個漏洞 CVE-2016-5335 CVE-2016-5336
  http://www.vmware.com/security/advisories/VMSA-2016-0013.html

  Win 10又曝系統漏洞：Kindle連接就藍屏
  http://news.cnyes.com/news/id/2165307

  警惕！智能路由或存在多個安全漏洞
  http://digi.163.com/16/0823/06/BV4P2RGG0016192R.html

  微信現任意代碼執行漏洞攻擊者可獲取完全控制權
  http://www.yixieshi.com/49806.html

  Omegle Lets Anyone Access Your Anonymous Chats
  http://news.softpedia.com/news/omegle-lets-anyone-access-your-anonymous-chats-507527.shtml

  Microsoft Windows xxxInsertMenuItem Out-Of-Bounds Access Privilege Escalation Vulnerability
  http://www.zerodayinitiative.com/advisories/ZDI-16-453/


**2.資安事件新聞：**
**A.病毒木馬：**
    勒索病毒侵台居亞洲第二,僅次日本
    http://blog.trendmicro.com.tw/?p=27423

    使用拋棄式電子郵件信箱服務的 R980 勒索病毒
    http://blog.trendmicro.com.tw/?p=26764

    芬安全F-Secure發表最新試驗報告 關於勒索軟體你或許不知道的事
    http://www.cna.com.tw/postwrite/Detail/199317.aspx

    小心別中！ 勒索病毒愛台灣
    http://udn.com/news/story/6/1918902
     
    趨勢科技：APT 攻擊、勒索軟體成臺灣企業資安大威脅
    http://technews.tw/2016/08/26/trendmicro-apt-attack-ransomware-is-the-threat-of-taiwan-enterprise/

    比特幣助長勒索軟體氾濫，2016 年成長高達四倍
    http://technews.tw/2016/08/24/bitcoin-help-spread-the-threat-of-ransomware-quadrupled/

    CrowdStrike Machine Learning and VirusTotal
    https://www.crowdstrike.com/blog/crowdstrike-machine-learning-virustotal/

**B.行動安全：**
    Opera VPN服務登陸Android平臺，能翻牆也能幫你檢測Wi-Fi網路安全性
    http://www.ithome.com.tw/news/107911

    Android 7.0「牛軋糖」正式版出爐了!
    http://www.ithome.com.tw/news/107877

    蘋果資安出問題？　英國律師收到駭客連結
    http://www.101newsmedia.com/news/25960

    蘋果發佈軟件更新應對「一鍵感染」間諜軟件
    http://www.bbc.com/zhongwen/trad/world/2016/08/160825_apple_ios_security_flaws

    iPhone 出現嚴重安全漏洞！一 Click 連結即被越獄及安裝惡意軟件
    http://unwire.hk/2016/08/26/ios-security-flaws/mobile-phone/

    Update your iPhones, iPads right now – govt spy tools exploit vulns
    http://www.theregister.co.uk/2016/08/25/update_your_ios_devices_now_theres_an_apt_in_the_wild/
       
**C.事件：**
    美國攻擊全球的網路「武器庫」遭襲
    http://news.sina.com.tw/article/20160820/18349477.html

    新手法，駭客利用VM隱藏惡意行為
    http://www.cert.org.tw/twcert/newsdetail/2859

    駭客竊天貓、珀萊雅個資　轉售詐騙集團
    http://news.tvbs.com.tw/local/670099

    資安攻防培訓 3百人踴躍報名
    http://times.hinet.net/news/19249958

    紐約時報遭駭客企圖入侵，FBI介入調查
    http://www.ithome.com.tw/news/107904

    了解重要基礎設施的受攻擊面
    http://blog.trendmicro.com.tw/?p=26560

    美資安公司：亞太企業遇駭反應慢半拍
    http://www.taiwannews.com.tw/etn/news_content.php?id=2970812

    印度委外潛艇製造商遭駭，2.2萬頁機密文件外流
    http://www.ithome.com.tw/news/107917

    影子掮客公布的攻擊工具確實來自美國國安局
    http://www.ithome.com.tw/news/107854

    Epic Games論壇遭駭，80萬用戶資料外洩
    http://www.ithome.com.tw/news/107909

    陸網軍 駭入國防大學竊資料 助教下載檔案 遭植後門程式 幸未洩密
    http://www.appledaily.com.tw/appledaily/article/headline/20160821/37355175/

    88個金融類APP被曝10大隱患 安全漏洞亟待打補丁
    http://news.sina.com.tw/article/20160821/18349771.html

    國內銀行投保資安險 掛蛋
    http://www.chinatimes.com/newspapers/20160822000063-260205
  
    資安區域聯防 金融入列
    http://money.udn.com/money/story/5613/1915041-%E8%B3%87%E5%AE%89%E5%8D%80%E5%9F%9F%E8%81%AF%E9%98%B2-%E9%87%91%E8%9E%8D%E5%85%A5%E5%88%97

    IBM：從北美數間銀行盜走數百萬美元的金融木馬GozNym已蔓延到德國
    http://www.ithome.com.tw/news/107905

    泰國銀行ATM遭駭被盜領1229萬泰銖，恐與一銀案背後為同一犯罪集團
    http://www.ithome.com.tw/news/107920

    保費僅688萬 資料保護險 上半年賣不到20張
    http://www.chinatimes.com/newspapers/20160822000065-260205

    補漏洞 金管會：明年成立金融資安中心
    http://www.chinatimes.com/realtimenews/20160822003513-260410

    一銀盜領案事件後 存保：資安控管不佳者保費調高
    http://www.chinatimes.com/realtimenews/20160822003244-260410

    「抓漏」或是「駭」？ 金融資安中心通報平台補破網
    https://www.cmmedia.com.tw/home/articles/%E3%80%8C%E6%8A%93%E6%BC%8F%E3%80%8D%E6%88%96%E6%98%AF%E3%80%8C%E9%A7%AD%E3%80%8D-%E9%87%91%E8%9E%8D%E8%B3%87%E5%AE%89%E4%B8%AD%E5%BF%83%E9%80%9A%E5%A0%B1%E5%B9%B3%E5%8F%B0%E8%A3%9C%E7%A0%B4%E7%B6%B2

    銀行業運用金融科技主要資安議題探討
    http://www.chinatimes.com/newspapers/20160823000238-260210

    強化資安 中央存保辦座談
    http://www.chinatimes.com/newspapers/20160823000236-260210

    FinTech的挑戰 App化有資安風險
    http://udn.com/news/story/6/1913851

**D.研究報告：**
    基於鏡像流量的漏洞挖掘思路
    http://www.itdadao.com/articles/c15a228370p0.html

    黑客實戰IIS服務器的漏洞攻防
    http://www.weixianmanbu.com/article/450.html

    利用MSF技巧進入服務器
    http://www.bugbank.cn/pwn/detail/57ba9a5be0d49b8e580c7f29.html

    NSA Equation Group洩露的天融信產品漏洞分析
    http://www.qingpingshan.com/pc/aq/125153.html

    必虎路由器大量高危漏洞分析
    http://www.freebuf.com/news/112626.html

    禁用Js獲取權限（愛情動作片站點實例講解）
    http://www.exp1oit.com/js-console.html

**E.商業：**
    Mozilla投資德國反追蹤瀏覽器開發商Cliqz ，加強網路瀏覽隱私安全性
    http://www.ithome.com.tw/news/107910

    Google兩年內將終止Windows、Linux、Mac版Chrome App
    http://www.ithome.com.tw/news/107856

    重新思索資安架構 以新思維、新技術禦知未來
    http://news.networkmagazine.com.tw/classification/security/2016/08/23/67142/

**F.其他：**
    頂級駭客們　最感興趣的東西是這些
    http://www.nownews.com/n/2016/08/20/2206852?from=fb_news

    日本擬新設培訓機構 強化基礎設施防禦駭客攻擊
    http://big5.chinanews.com/gj/2016/08-22/7980152.shtml

    使用對嘴自拍影片應用程式: Dubsmash 和 Musical.ly 的三項兒童隱私保護祕訣
    http://blog.trendmicro.com.tw/?p=26509

    智慧電表全民化 明年啟動
    http://money.udn.com/money/story/5648/1917563-%E6%99%BA%E6%85%A7%E9%9B%BB%E8%A1%A8%E5%85%A8%E6%B0%91%E5%8C%96-%E6%98%8E%E5%B9%B4%E5%95%9F%E5%8B%95
   
    刷臉解鎖很安全？這些“駭客”要顛覆你的認識
    https://news.xfastest.com/%E5%85%B6%E4%BB%96/24868/hackers-trick-facial-recognition-logins-photos-facebook/

**3.近期資安活動及研討會**

  黑魔法防禦術1-2 - 主機防禦基礎 2016/08/28 15:00~17:00
  http://tdohackerparty.kktix.cc/events/realdefense1-2

  Veeam Solution Day 2016  9 月 6 日 08:00-16:30（08:00 開始報到）
  http://www.gwms.com.tw/veeamsolutionday/index.html#agenda

  2016網路交易安全趨勢論壇 9月7日
  http://www.accupass.com/event/register/1608171008481403172482

  數位轉型首要挑戰－三大防禦術．隔離資安威脅 9/9 (五)  13:00 PM
  https://www.microsoftevents.com/profile/form/index.cfm?PKformID=0x426988fd82&wt.mc_id=AID532370_QSG_PD_EML_11468

  Container Summit 2016 9/21(三)~9/22(四) 09:00~17:00
  http://www.ithome.com.tw/seminar

  【課程】PM2.5空氣偵測器(含顯示螢幕)實作，硬體組裝、寫 Arduino 程式、資料上傳雲端，一天學會
   http://www.techbang.com/posts/45588-course-arduino-the-air-sensor-implemented

   HITCON 2016 Call for Training - Terms and Conditions
   http://blog.hitcon.org/2016/08/hitcon-training-en.html