跳到主要內容

資安新聞及事件週報 2016/09/26 ~ 2016/09/30

**1.重大弱點漏洞:**
  Internet Systems Consortium(ISC)發布BIND的安全更新,部分漏洞可能導致阻斷服務攻擊
  http://www.cert.org.tw/twcert/advdetail/3344

  D-Link DWR-932 B遭爆有約20個安全漏洞,研究人員:別用了
  http://www.ithome.com.tw/news/108741

  swagger高危漏洞影響Java、PHP、NodeJS和 Ruby等語言
  https://www.taiwanfansclub.com/article-405880-1.html?mod=view&aid=405880&page=1&

  macOS Server、macOS Sierra、Safari與iCloud for Windows.存在多個弱點
  https://support.apple.com/en-us/HT207171

  Firefox、Firefox ESR 存在安全性弱點
  https://www.mozilla.org/en-US/firefox/45.4.0/releasenotes/

  VMware 多個產品存在安全性弱點
  http://www.vmware.com/security/advisories/VMSA-2016-0014.html

  Cisco IOS 及 IOS XE 產品多個漏洞 CVE-2016-6414 CVE-2016-6409 CVE-2016-6412 CVE-2016-6410
  https://bst.cloudapps.cisco.com/bugsearch/bug/BUGID

  思科揭露遭駭客工具鎖定的第二個零時差漏洞
  http://times.hinet.net/news/19309790

  Check Point披露Facebook聊天應用程序存在漏洞
  http://www.w2bc.com/article/175760

  Apache Ranger create user 漏洞(CVE-2016-5395)
  https://cwiki.apache.org/confluence/display/RANGER/Vulnerabilities+found+in+Ranger

  EMC ViPR SRM 漏洞(CVE-2016-6647)
  https://support.emc.com/downloads/34247_ViPR-SRM

  ORACLE ENTERPRISE LINUX SECURITY UPDATE FOR THUNDERBIRD (ELSA-2016-1809)
  http://www.0daybank.org/?p=1396

  ORACLE ENTERPRISE LINUX SECURITY UPDATE FOR OPENSSL (ELSA-2016-1940)
  http://www.0daybank.org/?p=1883

  OPENSUSE SECURITY UPDATE FOR WGET (OPENSUSE-SU-2016:2284-1)
  http://www.0daybank.org/?p=1748

  HTTP STRICT TRANSPORT SECURITY (HSTS) SUPPORT DETECTED
  http://www.0daybank.org/?p=1669

  CISCO IOS IOX COMMAND INJECTION VULNERABILITY (CISCO-SA-20160921-IOX)
  http://www.0daybank.org/?p=1402

  AMAZON LINUX SECURITY ADVISORY FOR TOMCAT7: AL2012-2016-147
  http://www.0daybank.org/?p=1404

**2.銀行資安:**
  又被駭客盯上?第一金:將強化防火牆
  http://udn.com/news/story/6/1980723

  第一金證券遭駭客勒索 交易系統被攻擊
  http://www.cnabc.com/news/aall/201609230076.aspx

  一銀強化資安 斥資逾千萬元顧問費
  http://www.appledaily.com.tw/realtimenews/article/finance/20160924/955255/papersec_right

  證交所簡立忠:券商交易系統正常已請加強資安
  http://m.match.net.tw/pc/news/local/20160923/3737056

  一銀資安補破網 關貿網:別治標不治本
  http://pchome.megatime.com.tw/news/cat2/20160924/9800000000046260202.html

  關貿網路公司澄清: 未對特定廠商作資安評論
  http://www.chinatimes.com/realtimenews/20160926005109-260410

  要靠數據尋找分行營運新機會,玉山資料科學團隊經驗大公開
  http://www.ithome.com.tw/news/108614

  老行庫強化資安 全面啟動
  http://www.chinatimes.com/newspapers/20160927000127-260205

  金管會領軍防駭 全面備戰
  http://www.chinatimes.com/newspapers/20160924000045-260202

  SWIFT:鎖定金融業的網路攻擊增多,光今年夏天就有3起
  http://www.ithome.com.tw/news/108680

  Fintech與行動化應用時代下的防護新思維
  http://www.ithome.com.tw/guest-post/108015
**3.資安事件新聞:**
**A.病毒木馬:**
    臉書出現布萊德彼特死訊連結,用戶切勿點選
    http://www.cna.com.tw/news/firstnews/201609280013-1.aspx

    著名的惡意商業軟體iSpy新變種(V3.x),擁有更複雜的新惡意功能
    http://securityaffairs.co/wordpress/51513/malware/ispy-commercial-keylogger.html

    勒索軟件最新出品:虛假手機解鎖畫面、全面進行雙鎖營幕攻擊
    http://sina.com.hk/news/article/20160928/5/42/49/%E5%8B%92%E7%B4%A2%E8%BB%9F%E4%BB%B6%E6%9C%80%E6%96%B0%E5%87%BA%E5%93%81-%E8%99%9B%E5%81%87%E6%89%8B%E6%A9%9F%E8%A7%A3%E9%8E%96%E7%95%AB%E9%9D%A2%E5%85%A8%E9%9D%A2%E9%80%B2%E8%A1%8C%E9%9B%99%E9%8E%96%E7%87%9F%E5%B9%95%E6%94%BB%E6%93%8A-6360167.html
   
    已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定(RDP)散播
    http://blog.trendmicro.com.tw/?p=30149

    ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體
    http://blog.trendmicro.com.tw/?p=30144

    如何阻止勒索病毒滲透企業網路和在內部蔓延
    http://blog.trendmicro.com.tw/?p=29626

    RANSOM_MILICRY.A 勒索軟體透過瀏覽可疑網站進行感染
    http://about-threats.trendmicro.com/Malware.aspx?language=tw&name=RANSOM_MILICRY.A

**B.行動安全:**
    駭客宣稱,他們在24小時成功破解iPhone 7
    http://life.ettoday.net/article/780551-367.htm
   
    iOS 10 出現資安大漏洞!破解速度竟能比破解 iOS 9 還快上 2,500 倍
    http://technews.tw/2016/09/27/new-ios-10-security-flaw-makes-it-easier-to-crack-iphone-backups/
   
    iOS 10 備份容易被駭的問題快將解決
    http://chinese.engadget.com/2016/09/28/apple-to-fix-ios-10-backup-security/

    WhatsApp 推出重大更新!修正 iOS 10 版本兼容重大漏洞
    https://www.newmobilelife.com/2016/09/27/whatsapp-2-16-11-update/

    行動裝置勒索病毒:Android 勒索病毒威脅成長 15 倍
    http://blog.trendmicro.com.tw/?p=30286

    Apple 會記下你的 iMessage 聯絡資訊,並有可能與警方分享
    http://chinese.engadget.com/2016/09/29/apple-logs-imessage-contacts-could-share-with-police/
  
**C.事件:**
    企業該如何掌握網路威脅情資,以有效阻擋惡意攻擊
    http://www.ithome.com.tw/tech/108544

    威脅情報應用解決方案總覽
    http://times.hinet.net/news/19313987

    企業資安進入情報戰時代
    http://www.ithome.com.tw/article/108546

    OpenSSL修補可引發DoS攻擊的OCSP安全漏洞
    http://www.ithome.com.tw/news/108664

    Google釋出兩項CSP安全工具以防範XSS攻擊
    http://www.ithome.com.tw/news/108712

    沃通與StartCom憑證信用破產,遭Mozilla自信賴名單中剔除
    http://www.ithome.com.tw/news/108698

    攻擊手法轉型隱匿低調 凸顯SIEM分析平台重要性 彙整與分析情資 助資安獵人掌握攻擊蹤跡
    http://www.netadmin.com.tw/article_content.aspx?sn=1609090002

    現在才老實說?雅虎官方證實,有超過 5 億名用戶帳號資料早於2014年被盜走
    http://www.techbang.com/posts/46339-yahoo-confirmed-that-there-are-more-than-500-million-users-account-data-stolen

    針對史上最大宗5億筆帳號被盜一事,台灣Yahoo奇摩聲明僅表示「電商相關部分不受影響」
    http://www.techbang.com/posts/46350-yahoo-kimo-statement

    史上最大DDoS攻擊來襲, 逾14萬台網路攝影機帶來近1Tbps的巨量攻擊
    http://www.ithome.com.tw/news/108660
   
    駭客為何攻擊物聯網?這調查告訴你
    http://www.cna.com.tw/news/afe/201609260173-1.aspx

    向IS洩密 駭客被美判刑20年
    http://www.chinatimes.com/realtimenews/20160924001061-260408

    微軟開始預覽雲端版模糊測試服務Project Springfield
    http://www.ithome.com.tw/news/108710

    駭客組織「匿名者」要求輔大道歉 否則癱瘓網路系統、公布教職員個資
    http://www.storm.mg/article/169873

    信箱出現USB隨身碟,切勿好奇使用
    http://securityaffairs.co/wordpress/51633/cyber-crime/usb-drives.html

    騰訊挑戰Model S 揭Tesla安全漏洞
    http://hk.on.cc/hk/bkn/cnt/finance/20160923/bkn-20160923185019391-0923_00842_001.html

    交叉驗證進行影像鑑識偵測 查行動惡意程式藏身圖檔源頭 手機傳圖果真能藏病毒 用鑑識軟體追溯惡意影像
    http://www.netadmin.com.tw/article_content.aspx?sn=1609100011

    這個網軍紅了!安全機構抓到中國解放軍駭客真身,發表86頁鉅細靡遺肉搜報告
    http://www.buzzbooklet.com/card/633932/%E9%80%99%E5%80%8B%E7%B6%B2%E8%BB%8D%E7%B4%85%E4%BA%86%EF%BC%81%E5%AE%89%E5%85%A8%E6%A9%9F%E6%A7%8B%E6%8A%93%E5%88%B0%E4%B8%AD%E5%9C%8B%E8%A7%A3%E6%94%BE%E8%BB%8D%E9%A7%AD%E5%AE%A2%E7%9C%9F%E8%BA%AB%EF%BC%8C%E7%99%BC%E8%A1%A886%E9%A0%81%E9%89%85%E7%B4%B0%E9%9D%A1%E9%81%BA%E8%82%89%E6%90%9C%E5%A0%B1%E5%91%8A

    駭客型態 KPMG:單兵型走向組織化
    http://news.ltn.com.tw/news/business/breakingnews/1841124

    資安不該是創新的代價
    http://www.netadmin.com.tw/article_content.aspx?sn=1609260001

**D.資料外洩:**
    中國年輕駭客竊個資 QQ上變現
    http://www.chinatimes.com/realtimenews/20160928004302-260409

 **E.研究報告:**
    Safari UXSS漏洞分析(CVE-2016-4758)
    http://paper.seebug.org/53/

    Android漏洞CVE-2015-3825分析及exploit實戰:從Crash到劫持PC
    http://www.freebuf.com/vuls/115352.html
  
    面對0-day漏洞,你的MySQL中招沒
    http://www.weixinduba.com/n/325784

**F.商業:**
    IDC:UTM帶動需求,第2季資安設備出貨成長15.2%
    http://www.ithome.com.tw/news/108689

    Check Point網頁安全閘道提供SaaS應用程式導向措施,限定使用者只能執行公務帳號
    http://www.ithome.com.tw/review/108526

    和沛雲端儲存服務平台三方案防勒索 誘餌欺瞞術化被動為主動 行為偵測立即阻斷同步 ArkEase Pro強化安全管控
    http://www.netadmin.com.tw/article_content.aspx?sn=1609260002

**G.政府:**
    政府機房新目標:4年挑戰PUE值從2降到1.6
    http://times.hinet.net/news/19318415

    資安處預計10月中將資安管理法提報政院,最晚11月送立院審查
    http://www.ithome.com.tw/news/108657

    資安管理法草案正式對外徵詢意見,網友10月5日前可到眾開講表態
    http://times.hinet.net/news/19326491

    政院:加強資安防護 因應新科技犯罪
    http://www.cna.com.tw/news/aipl/201609290439-1.aspx

**H.其他:**
    全球熱議的「資安」議題,每天使用3C產品的你,還能不在乎嗎
    http://120k.com.tw/%E5%85%A8%E7%90%83%E7%86%B1%E8%AD%B0%E7%9A%84%E3%80%8C%E8%B3%87%E5%AE%89%E3%80%8D%E8%AD%B0%E9%A1%8C%EF%BC%8C%E6%AF%8F%E5%A4%A9%E4%BD%BF%E7%94%A8%E9%9B%BB%E8%85%A6%E7%9A%84%E4%BD%A0%EF%BC%8C%E9%82%84/

**4.近期資安活動及研討會**

  HITCON TALK - 金融資安研討會 2016/10/05(水) 13:00 ~ 17:00
  http://hitcon.kktix.cc/events/hitcontalk20161005

  ISDA 白帽菁英入門〈1+2〉1015
  https://reg.shield.org.tw/info.php?no=6

  HPE自適應備份與復原產品說明會 10/7(五) 14:00– 15:50
  http://seminar.ithome.com.tw/live/1007hpe/index.html

  SplunkLive! 台北場 - 2016 年 11 月 2 日
  http://live.splunk.com/Taipei2016?elqTrackId=98b54ebf4c9749bd808b126a194312dc&elq=64228f16907e43debbe5060d9d1e2953&elqaid=8606&elqat=1&elqCampaignId=4620

  資管系企業導師請益-大數據分析應用 - 社群資安訊息分析 2016/11/28 19:20:00 ~ 2016/11/28 21:10:00
  http://excellent.tku.edu.tw/ExcNewsDtl.aspx?nid=5212AD2A762946A3

  CYBER DEFENSE EXERCISE WORKSHOP 推廣活動資訊
  https://cdx.nchc.org.tw/activity.php

  2017 InfoSec Conference Taiwan
  http://infosec.ithome.com.tw/index_en.html

留言

這個網誌中的熱門文章

Capture the flag資源分享綜整

Capture the flag, CTF,是由古代軍事戰爭演變而來。軍旗在戰場上象徵兩軍戰況,當有一方軍旗被敵軍奪取或落在地上,代表該方戰敗。當這樣的攻防搶旗演變到現代的電子遊戲裡,通常就演變成團隊遊戲模式,由兩隊人馬互相前往對方的基地奪旗,奪旗成功回合次數多者得勝。

5月份資安、社群活動分享

5月份資安、社群活動分享

 108年度資安初學者挑戰活動 (MyFirstCTF) 5/1 ~ 5/10 報名
 https://ais3.org/mfctf/

 HackingThursday 固定聚會  5/2
 https://www.meetup.com/hackingthursday/events/vkhnnqyzhbdb/

 Python 商務網站 * 極速學習 (2019春季 - 台北)  5/2
 https://cjltsod.kktix.cc/events/django-2019-spring-taipei

 國票金控「純網銀鯰魚與資安技術漣漪」日本樂天技術結合台灣AI 人工智慧發表會  5/2
 https://www.accupass.com/event/1904111400151860776797

 資安法 X 技術實務論壇  5/2
 https://csa.kktix.cc/events/csa190502

 國立交通大學 亥客書院 - 基礎網站安全建構實務  5/4
 https://hackercollege.nctu.edu.tw/?p=1045

 ISDA 白帽菁英萌芽計劃II 0505 
 https://reg.shield.org.tw/info.php?no=54

 Pwn入門  5/5
 https://hackersir.kktix.cc/events/fcu190505

 Elixir台灣 台北 Meetup # Monday, May 6, 2019
 https://www.meetup.com/elixirtw-taipei/events/njjhvpyzhbjb/

 公部門之AI資安防護新思維研討會 5/7
 http://www.cisanet.org.tw/News/activity_more?id=MTQzOA==

 向資安服務看齊 我們一起讓資安從「有做」到「有效」  5/8 ~ 5/10
 https://www.informationsecurity.com.tw/Seminar/2019_all/

 資安危機 - 進擊的勒索加密軟體 2019-05-09(四) 14:45 ~ 17:00
 https://www.accupass.com/event/19041703435474776…

6月份資安、社群活動分享

6月份資安、社群活動分享

 學生資安新手村 相關活動整理  淡江大學場  工作坊  6/1(六) 10:00 - 16:00
 https://forms.gle/aBgGfLUYcvJh7hzk9

 學生資安新手村 相關活動整理  高雄科技大學場 06/02(日) 08:30~18:00
 https://nkust-itc.kktix.cc/events/security-beginner-workshop

 資安新手村-網站照妖鏡 SITCON x NKUST_CSIE & ITC  6/2
 https://nkust-itc.kktix.cc/events/security-beginner-workshop

 PyTorch Tainan x CCNS 聚會 #23  6/2
 https://pytorch-tainan.kktix.cc/events/2019-06-02-m23?fbclid=IwAR1s_n_piEyMN0e8NMHk-jjP97-1mjqI-favSKBAdxAglQ3j1aN17_fMmbk

 【課程】Raspberry Pi 相機 x OpenCV 進階應用:攝影拍照、人臉偵測、影像處理與實作 6/2
 https://www.techbang.com/posts/69830-course-raspberry-pi-camera-x-opencv-photo-photography-face-detection-image-processing-and-application

 International Conference  CONSTRUCTIVE THEORY OF FUNCTIONS - 2019  SOZOPOL, June 2 - 8, 2019
http://www.math.bas.bg/mathmod/CTF-2019/

 TW BECKS No.2 6/3
 https://becks.kktix.cc/events/20190603

 軟體安全性測試實務 6/3 ~ 6/4
 https://www.accupass.com/event/1904230701335964656400