跳到主要內容

資安新聞及事件週報 2016/10/31 ~ 2016/11/4

**1.重大弱點漏洞:**
  CVE-2015-0665 Cisco AnyConnect Secure Mobility Client Multiple Security Vulnerabilities
  http://www.0daybank.org/?p=2816

  ISC BIND 阻斷服務漏洞
  http://securitytracker.com/id/1037156

  Palo Alto PAN-OS 多個漏洞
  http://securitytracker.com/id/1037152
  http://securitytracker.com/id/1037153

  Oracle WebLogic Commons DiskFileItem Deserialization of Untrusted Data 漏洞
  https://www.seebug.org/vuldb/ssvid-92515

  OpenSSL “ssl3_read_bytes”漏洞(CVE-2016-8610)
  http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8610

  OpenJPEG 漏洞(CVE-2016-9117)
  http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9117

  Apache Tomcat 漏洞(CVE-2016-6797)
  http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6797

  InTerCyber​​公司在消息系統中發現了一個嚴重的漏洞
  http://www.freebuf.com/news/117588.html

  Cisco AsyncOS DoS漏洞思科郵件安全產品ESA發佈軟件升級修復9個漏洞
  http://toutiao.secjia.com/cisco-asyncos-dos-vulnerability-cve-2016-1481


**2.銀行資安:**
  香港公司遭騙匯1.5億 台新銀機警成功攔阻
  http://www.cardu.com.tw/news/detail.php?nt_pk=28&ns_pk=30974
 
  金融業擁抱Fintech時應有的八大安全思維
  http://www.ithome.com.tw/news/109207

  六銀行結盟AMIS 攻區塊鏈
  http://money.udn.com/money/story/5613/2054571
 
  帳聯網、代碼化 台FinTech兩大方向
  http://www.chinatimes.com/newspapers/20161029000119-260205

  IBM要用認知行為生物識別技術揪出銀行詐騙犯
  http://www.ithome.com.tw/news/109314

  數位金融報告出爐 台灣亨利族當道
  http://www.ntdtv.com.tw/b5/20161031/video/183084.html?%E6%95%B8%E4%BD%8D%E9%87%91%E8%9E%8D%E5%A0%B1%E5%91%8A%E5%87%BA%E7%88%90%20%E5%8F%B0%E7%81%A3%E4%BA%A8%E5%88%A9%E6%97%8F%E7%95%B6%E9%81%93
 
  政大拚FinTech 一口氣設了八大應用實驗室
  http://udn.com/news/story/6/2062186

  公股行庫例會 聚焦海外金檢
  http://www.chinatimes.com/newspapers/20161103000148-260205

  HITCON TALK完美落幕 聚焦金融資安防護
  http://www.runpc.com.tw/news.aspx?id=101718

  守護銀行資安 建立監控鑑識機制
  http://www.digitimes.com.tw/tw/dt/n/shwnws.asp?id=0000485711_M4W85CZN05U66O2G390RE&ct=1

**3.資安事件新聞:**
 **A.病毒木馬:**
    惡意軟件Mirai 源代碼存內存溢出漏洞,可阻止特定類型DDoS攻擊
    http://hackernews.cc/archives/1806

    巨集病毒肆虐! 微軟將惡意巨集封鎖延伸到Office 2013
    http://www.ithome.com.tw/news/109304

    超過一半勒索病毒加密的檔案類型與企業直接相關
    http://blog.trendmicro.com.tw/?p=32376

    惡意軟體 CloudFanta,透過雲端儲存 APP 竊取用戶銀行資訊
    http://securityaffairs.co/wordpress/52750/malware/cloudfanta-malware.html
    https://resources.netskope.com/h/i/297473838-cloudfanta-malware-campaign-technical-analysis

    英國國民健康署醫療體系疑似遭勒索軟體感染,緊急公告僅能提供部分醫療服務
    http://securityaffairs.co/wordpress/53030/malware/hospitals-malware-nhs.html

 **B.行動安全:**
    尷尬! 谷歌團隊發現OSX和iOS系統內核漏洞
    http://m.news.sina.com.tw/article/20161031/19192714.html

    手機DRAM有漏洞 黑客可竊取手機最高許可權
    http://iguang.tw/u/4219580/article/710164.html

    國內又一支隊伍破解iPhone 獲得21萬獎金
    http://news.sina.com.tw/article/20161031/19194030.html

    iOS 10.1.1 更新,修復 Apple Health 資料消失漏洞
    http://www.inside.com.tw/2016/11/02/apple-ios-10-1-1

    iPhone 沒比較安全?Google 資安主管:Android 資安問題被誇大
    http://3c.ltn.com.tw/news/27170

    iOS存在漏洞,一少年攻擊911報警系統
    http://www.kejilie.com/ifeng/article/FBzyEn.html

    網拍「加入LINE私下交易」 小心有詐
    http://www.cna.com.tw/news/afe/201610300068-1.aspx

    手機也會被駭客入侵?5個你的智慧型手機已經被「駭」的症頭!
    https://axiang.cc/archives/25910
   
    駭客假電郵“釣魚” 希拉里競選經理中招
    http://news.takungpao.com.hk/paper/q/2016/1030/3385748.html
   
    閩村民偷拍軍隊動態留念 軍官憂遭駭客利用
    http://tw.on.cc/cn/bkn/cnt/news/20161030/bkncn-20161030095224064-1030_05011_001.html

 **C.事件:**
    Akamai 威脅研究團隊發現攻擊者濫用 OpenSSH 漏洞新方式
    http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=8349

    勒索病毒入侵智慧型聯網電視!日本今年來已有 300 多起
    http://technews.tw/2016/10/31/smart-tv/

    MySQL爆最高權限漏洞,MariaDB、PerconaDB受累
    http://www.ithome.com.tw/news/109383

    微軟 Atom Table 可由特殊手法繞過防護機制,且無法修補
    http://news.softpedia.com/news/malware-abuses-windows-atom-tables-for-novel-code-injection-technique-509721.shtml
    http://blog.ensilo.com/atombombing-a-code-injection-that-bypasses-current-security-solutions

    駭客團體Strontium使用微軟零時差漏洞進行攻擊,建議用戶更新
    http://securityaffairs.co/wordpress/52986/cyber-warfare-2/windows-kernel-zero-day.html

    Google緊急公開Windows零時差漏洞,但微軟還沒寫好修補程式
    http://www.ithome.com.tw/news/109340

    “一早打開信箱,竟發現自己成為偷拍影片主角!" 五個令人駭怕的數位生活故事(真實案例)
    http://blog.trendmicro.com.tw/?p=32836
   
    美國人終於能「駭」自家電腦了,但只有兩年期限
    http://technews.tw/2016/11/02/the-electronic-device-law-usa/

    物聯網安全嗎?研究人員以無人機入侵智能燈泡 
    http://topick.hket.com/article/1533539/%E7%89%A9%E8%81%AF%E7%B6%B2%E5%AE%89%E5%85%A8%E5%97%8E%EF%BC%9F%E7%A0%94%E7%A9%B6%E4%BA%BA%E5%93%A1%E4%BB%A5%E7%84%A1%E4%BA%BA%E6%A9%9F%E5%85%A5%E4%BE%B5%E6%99%BA%E8%83%BD%E7%87%88%E6%B3%A1

    UL推新認證 降低物聯網風險
    http://www.runpc.com.tw/news.aspx?id=101710

    物聯網( IoT) | DNS服務商 Dyn遭遇的大規模DDoS攻擊,會是最後一次嗎?
    http://blog.trendmicro.com.tw/?p=32628

    又見DDoS攻擊鎖定DNS!新加坡電信Star Hub遇襲,導致用戶3天難上網
    http://www.ithome.com.tw/news/109302

    漏洞問題不滅反增 及早發現才能免於受駭 定期自動執行弱點掃描 全面掌握資安風險
    http://www.netadmin.com.tw/article_content.aspx?sn=1610210013

    Google 提早公開 Windows 漏洞,引發微軟不滿
    http://www.hksilicon.com/articles/1211047?utm_source=hksilicon.com&utm_medium=NewArticleBottomRight

    行動安全存取邁向細緻化
    http://www.netadmin.com.tw/article_content.aspx?sn=1610270001

    企業平均約需要 30 天完成修補程式測試,「漏洞攻擊套件 + 勒索病毒」,考驗和時間賽跑的 IT 管理員
    http://blog.trendmicro.com.tw/?p=32121

    網絡黑客無孔不入 簡易自保有方
    http://www.epochtimes.com/b5/16/11/2/n8451541.htm

    Check Point最新安全報告:企業未知惡意程式威脅增9倍
    http://www.ctimes.com.tw/DispNews-tw.asp?O=HK0B26D9H3WSAA00NU

    微軟:駭客利用谷歌所揭發的漏洞發動網攻
    https://www.msn.com/zh-tw/news/other/%E5%BE%AE%E8%BB%9F%E9%A7%AD%E5%AE%A2%E5%88%A9%E7%94%A8%E8%B0%B7%E6%AD%8C%E6%89%80%E6%8F%AD%E7%99%BC%E7%9A%84%E6%BC%8F%E6%B4%9E%E7%99%BC%E5%8B%95%E7%B6%B2%E6%94%BB/ar-AAjIWWw
   
    工業防火牆又出事了!施耐德工業防火牆被爆嚴重安全漏洞
    http://chuansong.me/n/1057588943178

    「Insecam」網站暴露多款無身份驗證機制或使用預設密碼之網路攝錄影機畫面,允許任意使用者觀看即時影像畫面,進而造成機敏資訊洩漏
    http://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1046

    陸駭客入侵規模「準戰爭程度」 大舉攻擊台灣民生系統
    http://www.setn.com/News.aspx?NewsID=195002

    IBM要求刪除協調漏洞披露中POC代碼
    http://www.searchsecurity.com.cn/showcontent_93943.htm

    IoT漏洞設備列表公布 網件路由用戶警惕
    https://kknews.cc/tech/re4vq3x.html

    18歲少年Desai開發了JavaScript漏洞並在Twitter及其它網站上與好友進行了分享,現已被逮捕
    http://www.xdxiazai.com/news/1277.htm

    iS駭客入侵大馬!!被Hack群組名單曝光!!,快看看你有沒有在這些群組,馬上舉報後退出吧
    https://www.novelfeed.com/article/h1ratnvp/is%E9%A7%AD%E5%AE%A2%E5%85%A5%E4%BE%B5%E5%A4%A7%E9%A6%AC-%E8%A2%ABhack%E7%BE%A4%E7%B5%84%E5%90%8D%E5%96%AE%E6%9B%9D%E5%85%89

    被駭信件證實 俄勾結烏克蘭叛軍
    http://www.epochtimes.com.tw/n187208/%E8%A2%AB%E9%A7%AD%E4%BF%A1%E4%BB%B6%E8%AD%89%E5%AF%A6-%E4%BF%84%E5%8B%BE%E7%B5%90%E7%83%8F%E5%85%8B%E8%98%AD%E5%8F%9B%E8%BB%8D.html

    Security Innovation將出席波羅的海最大網路安全會
    http://www.cnabc.com/news/aall/201610280852.aspx

    不只提供資安健檢 電信級流量實測阻斷式攻擊 挾4Tb骨幹頻寬優勢 DDoS演練玩真的
    http://www.netadmin.com.tw/article_content.aspx?sn=1610270005

    影子掮客公布NSA滲透名單,驚見美國國安局疑似駭入臺灣政府網路
    http://www.ithome.com.tw/news/109344

    吞噬網絡攻擊流量:CDN 為何能緩解 DDoS
    http://yes-news.com/60155/%E5%90%9E%E5%99%AC%E7%B6%B2%E7%B5%A1%E6%94%BB%E6%93%8A%E6%B5%81%E9%87%8F-CDN-%E7%82%BA%E4%BD%95%E8%83%BD%E7%B7%A9%E8%A7%A3-DDoS

    得花三倍價格八倍時間 企業還搶著排隊 教練級滲透測試 不只健檢還教你強身
    http://www.netadmin.com.tw/article_content.aspx?sn=1610270003
   
    量子電腦神算 資安有隱憂
    http://money.udn.com/money/story/6674/2054378

    防駭客攻擊 陸德擬建立打擊網路間諜機制
    http://tw.on.cc/cn/bkn/cnt/news/20161029/bkncn-20161029090750647-1029_05011_001.html

    Linux基金會出面整合JavaScript社群,發起JS基礎計畫
    http://www.ithome.com.tw/news/109323

    Airbnb新隱私條款犯眾怒,中午緊急更正:臺灣用戶不屬中國
    http://www.ithome.com.tw/news/109357

    美日英大學合作組成研究小組以共同研究網路攻擊
    http://www3.nhk.or.jp/news/html/20161101/k10010752251000.html?utm_int=detail_contents_news-related-auto_001

    泰國陸軍設立資安中心,以監控社群媒體
    http://www.bangkokpost.com/news/security/1124460/army-tightens-monitoring-of-social-media

    Google drops a zero-day on Microsoft: Web giant goes public with bug exploited by hackers
    http://www.theregister.co.uk/2016/10/31/google_drops_zero_day_on_tardy_microsoft/

  **D.資料外洩:**
    工程師鎖平台支付漏洞 網拍詐欺獲利百萬
    http://m.appledaily.com.tw/realtimenews/article/new/20161101/979716

    澳洲爆最大資料外洩事件!? 紅十字會55萬捐血人士個資外洩
    http://www.ithome.com.tw/news/109318

    維基解密爆料:希拉蕊競選團隊主任被網釣信件騙走密碼
    http://www.ithome.com.tw/news/109310

  **E.研究報告:**
    DirtyCow Linux權限提升漏洞分析(CVE-2016-5195)
    https://www.easyaq.com/newsdetail/id/1172489332.shtml
   
    VeraCrypt 1.18被發現高危漏洞
    http://www.twoeggz.com/news/2219915.html
   
    Memcached的命令執行漏洞(CVE-2016-8704,CVE-2016-8705,CVE-2016-8706)簡析
    http://paper.seebug.org/95/
   
    谷歌電子表單CSRF+JSON劫持漏洞
    http://bobao.360.cn/learning/detail/3144.html

    WordPress <= 4.6.1 使用語言文件任意代碼執行漏洞分析
    https://www.sdk.cn/news/5686
   
    HackerOne第三季度TOP 5 漏洞報告
    http://bobao.360.cn/learning/detail/3147.html

    如何利用Rowhammer漏洞Root Android手機(含演示視頻+Exploit源碼)
    http://www.freebuf.com/news/118163.html

    阿里聚安全Android應用漏洞掃描器解析:本地拒絕服務檢測詳解
    http://www.freebuf.com/sectool/117547.html

 **F.商業:**
    遠傳攜數聯資安 推DDoS防禦及攻擊演練服務
    http://www.idn.com.tw/news/news_content.php?catid=4&catsid=2&catdid=0&artid=20161027sean005

    DDoS駭客防禦需求大 電信業者紛推資安解決方案
    http://news.cnyes.com/news/id/3591874

    F5 Network:銀行資安意識改善
    http://www.mpfinance.com/fin/daily2.php?node=1477853633702&issue=20161031

    Touch Bar 藏有大秘密!新 Macbook Pro 是雙系統運行
    http://3c.ltn.com.tw/news/27105

    Symantec併購Blue coat 打造滴水不漏防護機制
    http://www.runpc.com.tw/news.aspx?id=101724

    微軟翻新Windows軟體更新平台,能減少35%檔案下載
    http://www.ithome.com.tw/news/109420

    密碼管理程式LastPass跨裝置同步功能免費了!
    http://www.ithome.com.tw/news/109390
   
    數位足跡搜尋引擎Atlas Recall進入公開測試
    http://www.ithome.com.tw/news/109385

    N-Partner以解決問題思維 發展跨領域管理分析平台 獨門整合網管資訊與分析 找出網路問題根本原因
    http://www.netadmin.com.tw/article_content.aspx?sn=1610270004

    防止多重DDoS攻擊 A10發表Thunder TPS
    http://www.runpc.com.tw/news.aspx?id=101711

    My Home Was Hacked
    http://news.sys-con.com/node/3945152

    搭載Windows 7專業版或8.1電腦正式停售
    http://www.ithome.com.tw/news/109363

    軟體定義最後一哩路:企業通訊4.0把所有員工串起來
    http://news.networkmagazine.com.tw/construction/2016/11/03/67318/

    繼Mozilla、蘋果之後,Google也將封鎖沃通與StarCom憑證
    http://www.ithome.com.tw/news/109356

    Toyota發表智慧鑰匙盒,讓你用手機開鎖還能發動車子
    http://www.ithome.com.tw/news/109349

  **G.政府:**
    綁約與政府採購手機 NCC:鼓勵資通安全檢測
    http://news.ltn.com.tw/news/life/breakingnews/1874463

    3大監理沙盒修法提案大比較
    http://www.ithome.com.tw/news/109370

    智慧型手機資安檢測 最快明年六月上路
    http://www.ettoday.net/news/20161102/804067.htm

**H.近期惡意郵件Title**
    前外資王牌分析師提3大論點
    揭iPhone 7熱賣假象
    [email protected]
    Ffjxyuxly mjjy
    國防部兵力報告,揭露中共犯台可能時機
    Re: PO #18102016 (Urgent)
   
**I.其他:**
    無

**4.近期資安活動及研討會**

  展望2017-政府資安趨勢論壇 2016 年 11 月 10 日 (星期四) 9:30~16:50 *
  http://seminar.ithome.com.tw/live/1110egov/index.html

  金融科技強化資訊安全 105年11月15日(星期二)14:00至17:30
  http://www.tabf.org.tw/tw/user/282230/

  台灣駭客年會 HITCON 2016 Training 2016/11/27(日) 09:00 ~ 2016/11/30(水) 18:00
  http://hitcon.kktix.cc/events/hitcon-training-2016

  DevOps Workshop系列 11/19、11/27、12/03
  http://learning.ithome.com.tw/page/DevOps_Workshop

  資管系企業導師請益-大數據分析應用 - 社群資安訊息分析 2016/11/28 19:20:00 ~ 2016/11/28 21:10:00
  http://excellent.tku.edu.tw/ExcNewsDtl.aspx?nid=5212AD2A762946A3

  Big Data Innovation Summit - 不容錯過的大數據黃金十年 12/05(一)~12/06(二) 09:00~17:00
  http://bigdataconf.ithome.com.tw/

  紅帽年度盛會台北站,邀請您一同探索參與的力量 2016 年 12 月 15 日 (四)
  http://seminar.ithome.com.tw/live/RHF/index.html?Media=ithomeedm

  2017 InfoSec Conference Taiwan
  http://infosec.ithome.com.tw/index_en.html

  Chef 自動化組態管理實戰講堂 2016/12/03 09:30 ~ 16:30
  http://learning.ithome.com.tw/course/U2VcRfPGL7dEEcp

  Big Data Innovation Summit - 不容錯過的大數據黃金十年 12/05(一)~12/06(二) 09:00~17:00
  http://bigdataconf.ithome.com.tw/

  台灣駭客年會 HITCON 2016 Pacific 2016/12/01(木) 09:00 ~ 2016/12/02(金) 18:00
  http://hitcon.kktix.cc/events/hitcon-pacific-2016

留言

這個網誌中的熱門文章

資安事件新聞週報 2019/2/25 ~ 2019/3/1

資安事件新聞週報  2019/2/25  ~  2019/3/1

1.重大弱點漏洞

Avast:數位家庭最容易有漏洞的裝置是印表機、網路裝置及監視器
https://ithome.com.tw/news/128997

F5 BIG-IP Access Policy Manager 跨站腳本漏洞  CVE-2019-6595
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6595

MikroTik RouterOS < 6.43.12 (stable) / < 6.42.12 (long-term) - Firewall and NAT
https://www.exploit-db.com/exploits/46444

報告:前十大熱門Docker映像檔都有至少30個以上的漏洞
https://www.ithome.com.tw/news/129018

有攻擊者正利用Chrome的0day漏洞偷取他人信息
https://nosec.org/home/detail/2294.html

Chrome瀏覽器被曝存在漏洞攻擊者可通過PDF收集用戶信息
http://www.sohu.com/a/298175326_114774?sec=wd

Google Chrome zero-day used in the wild to collect user data via PDF files
https://www.zdnet.com/article/google-chrome-zero-day-used-in-the-wild-to-collect-user-data-via-pdf-files/#ftag=RSSbaffb68

Latest WinRAR Flaw Being Exploited in the Wild to Hack Windows Computers
https://bit.ly/2H4ZAWr

研究人員揭露大批Thunderclap安全漏洞,允許惡意周邊裝置竊取記憶體機密資訊
https://www.ithome.com.tw/news/129021

新發現的thunderclap 漏洞允許黑客使用Thunderbolt/USB-C 外設攻擊PC
http://hackernews.cc/archives/24…

資安新聞及事件週報 2018/12/3 ~ 2018/12/7

1.重大弱點漏洞

WebEx Meetings漏洞沒補好,思科再補一次
https://ithome.com.tw/news/127328

Cisco Prime License Manager 存在安全性弱點
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181128-plm-sql-inject

IBM QRadar SIEM 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1730

2019 PHP5網站技術支援到期,恐將成為資安孤兒
https://bit.ly/2Udfh1S

高階腳本語言Perl測出多種overflow觸發情境
https://www.twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5059

CVE-2018-8550widows提權漏洞預警及復現
https://www.bilibili.com/video/av37405552/

Oracle WebLogic Server存在未明漏洞  CVE-2018-3249
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3249

CyberArk 9.7 - Memory Disclosure
https://old.exploit-db.com/exploits/45926/?rss

Chrome 71出爐,加強封鎖不良廣告、修補43個安全漏洞
https://www.ithome.com.tw/news/127492

儘速更新Zoom!避免駭客亂入視訊會議
https://www.twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5061

libsixel 緩衝區錯誤漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19762

容器技術 Kubernetes 被回報首度重大漏洞,使用者要盡快升級修補
https://technew…

資安事件新聞週報 2019/7/8 ~ 2019/7/12

資安事件新聞週報  2019/7/8  ~  2019/7/12

1.重大弱點漏洞/後門/Exploit/Zero Day
安全公告:LEN-27828 Intel PROSet/Wireless WiFi Software 漏洞
http://iknow.lenovo.com/detail/dc_183380.html

Juniper Junos OS 多個漏洞
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10938
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10940
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10942
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10946

Lodash 嚴重安全漏洞背後你不得不知道的JavaScript 知識
https://juejin.im/post/5d271332f265da1b934e2d48

Lodash庫爆出嚴重安全漏洞,波及400萬+項目
https://mp.weixin.qq.com/s/tfZq2PZylGfMjOp8h8eeTw

Jenkins Dependency Graph View Plugin 0.13 - Persistent Cross-Site Scripting
https://www.exploit-db.com/exploits/47111

知名飯店Kiosk系統漏洞讓後台資料庫憑證曝險,可致客戶資料被竊
https://ithome.com.tw/news/131809

Jira Server and Data Center Update Patches Critical Vulnerability
https://www.bleepingcomputer.com/news/security/jira-server-and-data-center-update-patches-critical-vulnerability/

JIRA Security Advisory 2019-07-1…