跳到主要內容

資安新聞及事件週報 2016/10/17 ~ 2016/10/21

**1.重大弱點漏洞:**
  phpMyAdmin 跨站腳本漏洞 CVE-2016-6607
  https://www.phpmyadmin.net/security/PMASA-2016-30/

  Juniper Junos Space 安全漏洞 CVE-2016-4927
  https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10760&cat=SIRT_1&actp=LIST

  甲骨文大舉修補253個安全漏洞,含15個重大漏洞
  http://www.ithome.com.tw/news/109162

  VMware Horizon View 存在安全性弱點
  http://www.vmware.com/security/advisories/VMSA-2016-0015.html

  Cisco 多個產品存在安全弱點
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-nxaaa
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-bgp
  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-otv

  利用JBoss漏洞拿webshel​​l方法
  http://www.cnblogs.com/firstdream/p/5973367.html

  Joomla含有零時差漏洞,該漏洞會導致SQL injection
  http://securityaffairs.co/wordpress/52468/hacking/jja-k2-filter-search-joomla.html

  Oracle發佈2016年十月份安全更新
  http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html

  Apache Struts 2 Convention Plugin 漏洞
  https://www.auscert.org.au/render.html?it=39766

  ISC BIND 9 DoS漏洞技術分析與防護方案
  http://blog.nsfocus.net/isc-bind-9-dos-vulnerability-technical-analysis-protection/

  Cisco Anyconnect Secure Mobility Client 2.0.0343 Gain privileges Vulnerability
  http://www.securiteam.com/securitynews/6D03A15H5A.html

  CVE-2016-2836 Debian Security Update for icedove (DSA 3686-1)
  https://lists.debian.org/debian-security-announce/2016/msg00267.html

  CentOS7 修補 OpenSSL 漏洞
  http://oldgrayduck.blogspot.tw/2016/10/linuxcentos7-openssl.html

  IBM Security Guardium 漏洞 CVE-2016-0247
  http://www-01.ibm.com/support/docview.wss?uid=swg21990368

**2.銀行資安:**
  台銀行業發展區塊鍊 人力需求或減1/3
  https://cnews.com.tw/%E5%8F%B0%E9%8A%80%E8%A1%8C%E6%A5%AD%E7%99%BC%E5%B1%95%E5%8D%80%E5%A1%8A%E9%8D%8A-%E4%BA%BA%E5%8A%9B%E9%9C%80%E6%B1%82%E6%88%96%E6%B8%9B1%EF%BC%8F3/
 
  抗駭客攻擊 美銀行將採用最新安全標準
  http://ca.ntdtv.com/xtr/b5/2016/10/20/a1292498.html

  資安問題層出不窮,包括一銀ATM遭盜領、第一金證券被駭客勒索、雅虎證實用戶資料曾遭駭客竊取等
  http://www.philemon.com.tw/2016/10/blog-post_319.html
 
  花旗三個聚焦鏡 打造責任金融
  http://www.wealth.com.tw/article_in.aspx?nid=9108

  印度爆發大型金融數據外洩案,320萬扣賬卡賬戶或遭盜用
  https://theinitium.com/article/20161020-dailynews-india-debit-card-hack/

  橘子支採實名認證 資安有隱憂嗎
  http://www.chinatimes.com/realtimenews/20161020005005-260412

  Dyre banking Trojan successor rears its ugly head New online banking Trojan TrickBot is believed to be a reimplementation of Dyre
  http://www.computerworld.com/article/3131621/security/dyre-banking-trojan-successor-rears-its-ugly-head.html#tk.rss_news

**3.資安事件新聞:**
**A.病毒木馬:**
    讓防毒解不開,勒索軟體 CryPy 每個加密檔案有各自解密金鑰
    http://securityaffairs.co/wordpress/52360/malware/crypy-ransomware.html
    https://securelist.com/blog/research/76318/crypy-ransomware-behind-israeli-lines/

    看似 Google Play 要求上傳手持身分證的自拍照,切勿輕信
    http://news.softpedia.com/news/android-trojan-asks-victims-to-submit-a-selfie-holding-their-id-card-509303.shtml
   
    Check Point:勒索軟體Locky躍居前三大惡意程式
    http://www.ithome.com.tw/news/109189

    三步驟對抗勒索病毒
    http://blog.trendmicro.com.tw/?p=31137

    PPAP大叔出新歌了~如果病毒式影片真的有病毒該怎麼辦
    http://blog.trendmicro.com.tw/?p=31300

    美國資安公司警告:釣魚郵件附檔97%都是勒索軟體
    http://www.ithome.com.tw/news/109169

    Cerber勒索病毒新變種大量散播中,台灣是主要攻擊目標,避免中招,兩個重要提醒
    http://blog.trendmicro.com.tw/?p=31221
   
    DDoS 程式 Mirai 開始肆虐,一個月內中招 IoT 裝置急增一倍
    http://technews.tw/2016/10/21/mirai-iot-botnet-increase/

    PoS 端點銷售病毒:FighterPOS變種,只偷能夠跨國使用並且不強制使用晶片的信用卡
    http://blog.trendmicro.com.tw/?p=31140

    Mirai原始碼揭露後遺症…殭屍裝置數量增加一倍
    http://www.ithome.com.tw/news/109163

    瞞天過海?鎖定Magento的惡意程式將盜來的信用卡資訊藏在JPG圖檔中
    http://www.ithome.com.tw/news/109135

    瀏覽合法官網也會中毒?問答集一次看懂
    http://www.cna.com.tw/news/ahel/201610220131-1.aspx

    Hackers create more IoT botnets with Mirai source code
    http://www.computerworld.com/article/3132359/security/hackers-create-more-iot-botnets-with-mirai-source-code.html#tk.rss_news

**B.行動安全:**
    陸惡意APP竊個資 網民下載要三思
    http://www.chinatimes.com/newspapers/20161016000710-260301
    
    黑客曝光解蘋果全系列ID漏洞
    https://kknews.cc/tech/qp639b.html

    iPhone6被黑遭鎖定勒索 駭客叫囂沒動數據不是犯罪
    http://www.mastvnet.com/news/technology/2016-10-20/news_content_114012.shtml

    資安研究人員示範點樣樣在六分鐘內竊取 iPhone 內密碼等私人資訊
    http://www.hkeasychat.com/thread-2195345-1-1.html

**C.事件:**
    網易163郵箱再爆出新漏洞,可被利用獲取用戶郵箱賬號密碼
    http://www.twoeggz.com/news/1987705.html

    全球大半網站周末同時失聯!知名DNS遭遇DDoS猛攻,Github、CNN、Aribnb、VISA都遭殃
    http://www.ithome.com.tw/news/109199

    網購高風險賣場出爐 警方籲民眾小心
    http://news.ltn.com.tw/news/life/breakingnews/1859713

    用免費WiFi 要小心!陸網民登入不明WiFi 數十秒即傾家蕩產
    http://www.epochtimes.com.tw/n185957/%E7%94%A8%E5%85%8D%E8%B2%BBWiFi-%E8%A6%81%E5%B0%8F%E5%BF%83%EF%BC%81%E9%99%B8%E7%B6%B2%E6%B0%91%E7%99%BB%E5%85%A5%E4%B8%8D%E6%98%8EWiFi-%E6%95%B8%E5%8D%81%E7%A7%92%E5%8D%B3%E5%82%BE%E5%AE%B6%E8%95%A9%E7%94%A2.html

    駭客不只駭了Facebook,還開始往微信進攻
    http://www.thegreatdaily.com/cat37/node1309104

    駭客攻擊美資訊交換中心 推特等網站受波及
    http://news.sina.com.tw/article/20161022/19091458.html

    IP Cam 成窺探的工具?趕快加上密碼吧
    http://technews.tw/2016/10/21/ip-cam-is-becoming-snooping-tools-add-password-protection-soon/

    當駭客從孤狼變集體作戰
    http://udn.com/news/story/7238/2027925

    進階威脅防禦 資安業者說3A必須做到
    https://www.novelfeed.com/article/t9pd85lk/%E9%80%B2%E9%9A%8E%E5%A8%81%E8%84%85%E9%98%B2%E7%A6%A6-%E8%B3%87%E5%AE%89%E6%A5%AD%E8%80%85%E8%AA%AA3a%E5%BF%85%E9%A0%88%E5%81%9A%E5%88%B0

    擔心個資外洩還是商機外流
    http://www.appledaily.com.tw/realtimenews/article/new/20161019/970892/

    創新思維/通訊新科技 資安考驗大
    http://udn.com/news/story/7244/2030232

    物聯網安全攻防戰 百密一疏就可能門戶大開 網路安全標準上路,破解智慧家庭隱藏的危機!
    http://www.cdnews.com.tw/cdnews_site/docDetail.jsp?coluid=112&docid=103885492

    資訊系統不准動! 新型駭客網路劫財
    http://a.udn.com/focus/2016/10/17/25220/index.html

    遊戲產業防範分散式阻斷服務攻擊的技巧
    http://blog.trendmicro.com.tw/?p=30559

    涉嫌LinkedIn近1.2億帳號外洩的俄羅斯駭客在捷克就逮,美俄恐上演搶人大戰
    http://www.ithome.com.tw/news/109154

    CIA準備反擊俄國駭客戰 待歐巴馬同意
    http://www.appledaily.com.tw/realtimenews/article/new/20161015/968655/

    駭客鑽漏洞 盜售帳密淪黑色產業
    http://www.chinatimes.com/newspapers/20161019001773-260301

    美東網絡癱瘓11小時 遭大規模殭屍電腦攻擊
    http://www.epochtimes.com/b5/16/10/22/n8421628.htm

    從漏洞利用工具到零日漏洞:網絡黑市大全
    https://www.taiwanfansclub.com/article-446833-1.html

    堵上物聯網安全漏洞 資安標準驗證機制上路
    http://www.mem.com.tw/article_content.asp?sn=1610170008

    物聯網商機大 資安問題成隱憂
    http://www.chinatimes.com/newspapers/20161017000096-260204

    還用公司的電子郵件帳號註冊社群網站嗎? 駭客拿到你的帳密,可能發生哪些事?
    http://blog.trendmicro.com.tw/?p=31689

    北市府又出包 觀光網址「射自己」
    http://www.appledaily.com.tw/appledaily/article/headline/20161016/37418084/

    大數據時代下更需商業智慧 「以快打慢」迎戰跨領域競爭 商業智慧分析隨企業轉型 自助服務降低進入門檻
    http://www.netadmin.com.tw/article_content.aspx?sn=1610050002

    美國政府史上最大資料竊取事件,國安局前承包商涉嫌竊資長達20年
    http://www.ithome.com.tw/news/109175

    疑似中東籍駭客侵入臉書『虧本賤賣拍賣群』!
    http://tianxia.thesharedaily.com/article/3964

    臉書安全系統完善 專家:無需憂個人賬戶遭駭
    http://wp.news365.my/?p=1698470

    研究:英特爾處理器含有安全漏洞,只需60毫秒就能破解ASLR保護
    http://www.ithome.com.tw/news/109187

    小心!嗶一下感應付款 信用卡個資恐遭竊
    http://news.tvbs.com.tw/world/680599

    國際資訊:Sofacy APT組織開發新的Flash漏洞
    http://www.twoeggz.com/news/2029699.html

    小心! 駭客可聽音辨位竊聽Skype的鍵盤輸入
    http://www.ithome.com.tw/news/109152

    Vera Bradley證實支付系統遭駭 消費者多加警惕
    https://www.new0.net/Vera%20Bradley%E8%AD%89%E5%AF%A6%E6%94%AF%E4%BB%98%E7%B3%BB%E7%B5%B1%E9%81%AD%E9%A7%AD%20%E6%B6%88%E8%B2%BB%E8%80%85%E5%A4%9A%E5%8A%A0%E8%AD%A6%E6%83%95-1834214.html

**D.資料外洩:**
    Weebly 遭駭,4300萬使用者帳戶資料外洩
    http://news.softpedia.com/news/weebly-confirms-data-breach-affecting-over-43-million-users-509493.shtml
    https://www.leakedsource.com/blog/weebly/

    印度Debit金融卡資料三百二十萬筆遭洩
    http://profit.ndtv.com/news/your-money/article-worried-over-debit-card-security-heres-what-you-can-do-1476881
    http://thehackernews.com/2016/10/india-debit-card-hack.html

    百度雲50萬帳戶被盜 用戶雲端文件全變A片
    http://tw.on.cc/cn/bkn/cnt/news/20161018/bkncn-20161018100628538-1018_05011_001.html

    百度遭駭客撞庫 用戶帳密被盜賣外流
    http://www.chinatimes.com/realtimenews/20161018003237-260409

    柯文哲害 35 萬學童個資外洩?先搞懂「G Suite for Education」怎麼運作
    http://technews.tw/2016/10/19/break-out-rumors-of-g-suite-for-education/
      
    Salesforce 收購名單外洩,曾考慮 Adobe 而 Twitter 不在其中
    http://technews.tw/2016/10/19/salesforce-leaks-consider-buying-adobe-not-twitter/

    外洩郵件透露Cook及Gates曾被列入希拉蕊副手名單中
    http://www.ithome.com.tw/news/109138

    TAAZE網路書店疑個資外洩 大學生遭騙近3萬元
    http://news.sina.com.tw/article/20161022/19090080.html

    網站購書遭冒名詐騙 百餘人受害損失900萬元
    http://www.chinatimes.com/realtimenews/20161022003019-260402

    偷窺台女還笑Nice ass 國外24H直播台灣129支監視器
    http://www.ettoday.net/news/20161021/797239.htm

**E.研究報告:**
    資安大會
    http://infosec.ithome.com.tw/Sponsorship_Prospectus_cht.pdf

    由HITCON 2016一道web聊一聊php反序列化漏洞
    http://www.freebuf.com/vuls/116705.html

    行動App資安問題現況與檢測案例分享
    http://www.mars1988.com/seminar_iii_2016/wp-content/uploads/2016/10/7.pdf
   

**F.商業:**
    結合多種漏洞與惡意程式預防技術,Palo Alto進軍端點防護
    http://www.ithome.com.tw/review/109147

    資安訊息派送平台
    http://s.itho.me/vendor/2016/gigamon/gigamon2.pdf

    Windows Server 2016增添多層次安全性,強化特權帳號、OS與VM防護
    http://www.ithome.com.tw/news/109034

**G.政府:**
    「監理沙盒」一讀付委,要廣納新創業者入沙盒,最快明年初完成修法
    http://www.ithome.com.tw/news/109066

    防駭 財政資訊中心擬減少委外業務
    http://www.appledaily.com.tw/realtimenews/article/new/20161016/969089/

    財資掌門人 資安3把火
    http://times.hinet.net/news/19432847

    資安管理法新版草案,刪除可另行指定適用該法機關和行政檢查需司法警察陪同條文
    http://times.hinet.net/news/19419800

    解析雲端運算有關認驗證機制與資安標準發展
    https://stli.iii.org.tw/article-detail.aspx?no=66&tp=3&i=79&d=6403

**H.近期惡意郵件Title**
    買軟體不用去光華商場了..這裡就有了
    強檔超特價狂賣中
    音樂影音,強項影音素材,過來看您
    第四台布袋戲免費看
    安撫軍公教,年終慰問金照發
    研发领导力与执行力-报名通知
    打造销售队伍狼性文化的方法
   【台灣商銀】重要訊息通知

**I.其他:**
    無

**4.近期資安活動及研討會**

  展望2017-政府資安趨勢論壇 2016 年 11 月 10 日 (星期四) 9:30~16:50 *
  http://seminar.ithome.com.tw/live/1110egov/index.html

  「無現金時代下行動支付發展趨勢與資安保護」研討會 105年10月28日(星期五),14:00至17:00
  http://acad.tust.edu.tw/bin/downloadfile.php?file=WVhSMFlXTm9MekV5TDNCMFlWOHlNemd3TjE4M056WTFOak14WHpjeE5UTTRMbkJrWmc9PQ==&fname=KLRPDGOPGHB5HCUXMLSTHC55HDVTCHRP45DDFDUXMLOP01QPUT01RLQL45FDST141401STA5KLNLRLRPCDUT51EHA5IH50QPMLEDSTOPJDQPZXB5GHIHRL14HDMLDDA545RPEDUXWXZXHCOPIHOP51CH15VTCH4015RPHDOPHDST14B5HDVTGDOPCDVTNPOPMLVTGDEHUXA5HCEHCDST15VX51JHRLOPSTA545VTKLVTTWA5GHIHDG5035FDWXVTSTRPDGB5GHFDNPUXCD3150A5MLIHSXRP5101STRLUXWXKOKO

  SplunkLive! 台北場 - 2016 年 11 月 2 日
  http://live.splunk.com/Taipei2016?elqTrackId=98b54ebf4c9749bd808b126a194312dc&elq=64228f16907e43debbe5060d9d1e2953&elqaid=8606&elqat=1&elqCampaignId=4620

  Fortinet Security 361° 研討會 2016年11月2日(三) 09:00-17:00
  http://apac2016.361securityforum.com/taiwan/

  DAF 2016 資安日論壇:破壞式創新衝擊下的數據防護 | 台北場 2016/10/27
  http://www.digitimes.com.tw/seminar/DAF_20161027/

  2016從端到雲打造微軟全新物聯零售技術與應用研討會 2016年10月26日(星期三)13:30~16:45
  http://www.digitimes.com.tw/seminar/Synnex_20161026/application.asp

  台灣駭客年會 HITCON 2016 Training 2016/11/27(日) 09:00 ~ 2016/11/30(水) 18:00
  http://hitcon.kktix.cc/events/hitcon-training-2016

  DevOps Workshop系列 11/19、11/27、12/03
  http://learning.ithome.com.tw/page/DevOps_Workshop

  Gigamon 研討會 : 透過無所不在的可視性提升全面資安保護  2016 年 10 月 27 日 (四) 13:30 ~ 16:35
  http://seminar.ithome.com.tw/live/20161027Gigamon/index.html
 
  資管系企業導師請益-大數據分析應用 - 社群資安訊息分析 2016/11/28 19:20:00 ~ 2016/11/28 21:10:00
  http://excellent.tku.edu.tw/ExcNewsDtl.aspx?nid=5212AD2A762946A3

  2017 InfoSec Conference Taiwan
  http://infosec.ithome.com.tw/index_en.html

  Big Data Innovation Summit - 不容錯過的大數據黃金十年 12/05(一)~12/06(二) 09:00~17:00
  http://bigdataconf.ithome.com.tw/

  台灣駭客年會 HITCON 2016 Pacific 2016/12/01(木) 09:00 ~ 2016/12/02(金) 18:00
  http://hitcon.kktix.cc/events/hitcon-pacific-2016

留言

這個網誌中的熱門文章

Capture the flag資源分享綜整

Capture the flag, CTF,是由古代軍事戰爭演變而來。軍旗在戰場上象徵兩軍戰況,當有一方軍旗被敵軍奪取或落在地上,代表該方戰敗。當這樣的攻防搶旗演變到現代的電子遊戲裡,通常就演變成團隊遊戲模式,由兩隊人馬互相前往對方的基地奪旗,奪旗成功回合次數多者得勝。

5月份資安、社群活動分享

5月份資安、社群活動分享

 108年度資安初學者挑戰活動 (MyFirstCTF) 5/1 ~ 5/10 報名
 https://ais3.org/mfctf/

 HackingThursday 固定聚會  5/2
 https://www.meetup.com/hackingthursday/events/vkhnnqyzhbdb/

 Python 商務網站 * 極速學習 (2019春季 - 台北)  5/2
 https://cjltsod.kktix.cc/events/django-2019-spring-taipei

 國票金控「純網銀鯰魚與資安技術漣漪」日本樂天技術結合台灣AI 人工智慧發表會  5/2
 https://www.accupass.com/event/1904111400151860776797

 資安法 X 技術實務論壇  5/2
 https://csa.kktix.cc/events/csa190502

 國立交通大學 亥客書院 - 基礎網站安全建構實務  5/4
 https://hackercollege.nctu.edu.tw/?p=1045

 ISDA 白帽菁英萌芽計劃II 0505 
 https://reg.shield.org.tw/info.php?no=54

 Pwn入門  5/5
 https://hackersir.kktix.cc/events/fcu190505

 Elixir台灣 台北 Meetup # Monday, May 6, 2019
 https://www.meetup.com/elixirtw-taipei/events/njjhvpyzhbjb/

 公部門之AI資安防護新思維研討會 5/7
 http://www.cisanet.org.tw/News/activity_more?id=MTQzOA==

 向資安服務看齊 我們一起讓資安從「有做」到「有效」  5/8 ~ 5/10
 https://www.informationsecurity.com.tw/Seminar/2019_all/

 資安危機 - 進擊的勒索加密軟體 2019-05-09(四) 14:45 ~ 17:00
 https://www.accupass.com/event/19041703435474776…

6月份資安、社群活動分享

6月份資安、社群活動分享

 學生資安新手村 相關活動整理  淡江大學場  工作坊  6/1(六) 10:00 - 16:00
 https://forms.gle/aBgGfLUYcvJh7hzk9

 學生資安新手村 相關活動整理  高雄科技大學場 06/02(日) 08:30~18:00
 https://nkust-itc.kktix.cc/events/security-beginner-workshop

 資安新手村-網站照妖鏡 SITCON x NKUST_CSIE & ITC  6/2
 https://nkust-itc.kktix.cc/events/security-beginner-workshop

 PyTorch Tainan x CCNS 聚會 #23  6/2
 https://pytorch-tainan.kktix.cc/events/2019-06-02-m23?fbclid=IwAR1s_n_piEyMN0e8NMHk-jjP97-1mjqI-favSKBAdxAglQ3j1aN17_fMmbk

 【課程】Raspberry Pi 相機 x OpenCV 進階應用:攝影拍照、人臉偵測、影像處理與實作 6/2
 https://www.techbang.com/posts/69830-course-raspberry-pi-camera-x-opencv-photo-photography-face-detection-image-processing-and-application

 International Conference  CONSTRUCTIVE THEORY OF FUNCTIONS - 2019  SOZOPOL, June 2 - 8, 2019
http://www.math.bas.bg/mathmod/CTF-2019/

 TW BECKS No.2 6/3
 https://becks.kktix.cc/events/20190603

 軟體安全性測試實務 6/3 ~ 6/4
 https://www.accupass.com/event/1904230701335964656400