跳到主要內容

資安新聞及事件週報 2016/12/12 ~ 2016/12/16


**1.重大弱點漏洞**
  Eioneus系統公司發現印度UAN網站嚴重的安全漏洞
  https://95cnweb.com/233.html
  安全研究人員發現攻擊套件最喜Flash Player安全漏洞
  http://www.qingpingshan.com/pc/aq/175778.html
  MySQL現高危漏洞,可致服務器root權限被竊取
  http://www.geeker.hk/?post=647
  Adobe修補17個Flash漏洞,包含已被攻擊的零時差漏洞
  http://www.ithome.com.tw/news/110321
  密碼管理軟件Teampass 存在未授權SQL 注入漏洞
  http://study.rnuomi.com/open0day/2016121340614.html
McAfee 修復企業版Linux 殺毒軟件遠程代碼執行漏洞,可獲得Root 權限
  http://hackernews.cc/archives/3591

  Firefox跨域設置cookie漏洞安全威脅通告
  http://www.twoeggz.com/news/2783198.html
  b2evolution “lost password”密碼重置漏洞(CVE-2016-9479)
  https://github.com/b2evolution/b2evolution/issues/33
  Android Qualcomm Media Codecs 提權漏洞 CVE-2016-6760
  https://source.android.com/security/bulletin/2016-12-01.html
  Metasploit溢出java RMI SERVER命令執行漏洞
  http://12387962.blog.51cto.com/12377962/1881519
  趨勢科技:蘋果使用者要小心越來越多的惡意程式!Adobe 仍是大量漏洞供應者
  http://technews.tw/2016/12/14/trendmicro-apple-user-watch-out-for-more-threats-adobe-is-still-a-supplier-for-vulnerabilities/
  Adobe修補17個Flash漏洞,包含已被攻擊的零時差漏洞
  http://www.ithome.com.tw/news/110321
**2.銀行資安**
  駭客盜用股票帳戶一年非法交易逾4億元,香港證監會要查
  http://www.ithome.com.tw/news/110316
  卡巴斯基亞洲和非洲銀行遭受零日漏洞攻擊想起你的臉中文諧音
  http://www.zhalantunnews.com/yinhang/25132.html
  去年鎖定烏克蘭電網駭客組織,被發現使用TeleBots瞄準烏克蘭銀行
  http://securityaffairs.co/wordpress/54415/cyber-warfare-2/telebots.html
  金融駭客猖獗 SWIFT勸加強資安
  https://anntw.com/articles/20161213-0J1O
  金融業軟硬體大採購 明年商機百億
  http://www.chinatimes.com/newspapers/20161214000055-260202
  駭客集團:印度銀行系統很容易遭入侵
  http://udn.com/news/story/5/2167186
  中國信託辦美國銀行保密法與洗錢防制法研討會
  http://udn.com/news/story/6/2173292
  強化資安,業務風險零中斷 華銀 擬建新資訊中心
  https://tw.news.yahoo.com/%E5%BC%B7%E5%8C%96%E8%B3%87%E5%AE%89-%E6%A5%AD%E5%8B%99%E9%A2%A8%E9%9A%AA%E9%9B%B6%E4%B8%AD%E6%96%B7-%E8%8F%AF%E9%8A%80-%E6%93%AC%E5%BB%BA%E6%96%B0%E8%B3%87%E8%A8%8A%E4%B8%AD%E5%BF%83-215004613--finance.html
  強化法遵 罕見大手筆 兆豐銀30億打造資安系統
  http://www.chinatimes.com/newspapers/20161214000052-260202
  假銀行應用程式 SmsSecurity 變種來襲,除了竊取簡訊發送的密碼,還有更強大的隱蔽行動
  https://blog.trendmicro.com.tw/?p=38699
  金融科技現資安漏洞 駭客狙擊獲取不法利益
  http://udn.com/news/story/6/2165912
**3.資安事件新聞**
**A.病毒木馬**
    遭勒索軟體攻擊?先來這求救!免費解密計畫增32工具,已助6000人
    http://www.ithome.com.tw/news/110361
    趨勢病毒檔出包,誤刪SharePoint檔案、用戶哀號
    http://www.ithome.com.tw/news/110143
    新型Locky勒索軟體在臉書上透過圖片傳播 芬-安全 F-Secure Safe有效保護您的網路安全
    http://n.yam.com/cna/place/20161215/20161215017022.html
    勒索軟體人性大考驗,受害者只要感染另兩人就能免費解密
    http://www.ithome.com.tw/news/110148
    彌補人為疏失導致漏洞 資料備份成最後一道防線 勒索軟體難由網路封鎖 端點安全須著重行為偵測
    http://www.netadmin.com.tw/article_content.aspx?sn=1612060001
    勒索軟體Certber新變種,可能在聖誕節蠢蠢欲動
    http://www.cert.org.tw/twcert/newsdetail/2946
    網路陷阱多 小心行動裝置3大惡意程式
    http://www.cna.com.tw/news/ahel/201612100045-1.aspx
    Ransomware scum offer free decryption if you infect two mates
    http://www.theregister.co.uk/2016/12/11/ransomware_offer_pay_us_a_770_ransom_or_infect_two_friends/
**B.行動安全**
    蘋果macOS Sierra 10.12.2修補72個安全漏洞,不再顯示電池剩餘時間
    http://www.ithome.com.tw/news/110328
    蘋果釋出iOS 10.2,新增電視程式,修補12個安全漏洞
    http://www.ithome.com.tw/news/110189
    即便手機設定成不接受來自Google Play以外的應用程式,竟也可以偷偷安裝應用程式
    https://blog.trendmicro.com.tw/?p=38685
    iOS 漏洞將超越 Windows?趨勢科技發布 2017 年資安報告
    http://3c.ltn.com.tw/news/27790
    手機不設防? 同意條款洩漏這些個資
    http://udn.com/news/story/9/2117799
    新增百多款Emoji 堵塞嚴重漏洞防入侵Apple iOS 系統10.2版本釋出更新
    http://www.hkepc.com/14706/%E6%96%B0%E5%A2%9E%E7%99%BE%E5%A4%9A%E6%AC%BEEmoji_%E5%A0%B5%E5%A1%9E%E5%9A%B4%E9%87%8D%E6%BC%8F%E6%B4%9E%E9%98%B2%E5%85%A5%E4%BE%B5_Apple_iOS_%E7%B3%BB%E7%B5%B110.2%E7%89%88%E6%9C%AC%E9%87%8B%E5%87%BA%E6%9B%B4%E6%96%B0
    寶可夢潛藏網路隱碼攻擊威脅風險,企業警覺升級
    http://www.ithome.com.tw/guest-post/109867
    Android惡意軟體新變種Gooligan入侵超過100萬個Google帳戶
    http://www.netadmin.com.tw/article_content.aspx?sn=1612080008
    Persistent ad and dialler trojans found on 28 Android phones
    http://www.theregister.co.uk/2016/12/14/persistent_ad_and_dialler_trojans_found_on_28_android_phones/
   
**C.事件**
    漏洞揭露調查:法律威脅讓6成資安研究人員猶豫是否回報漏洞
    http://www.ithome.com.tw/news/110397
    Tb級DDoS攻擊現身,每秒1.5Tb爆量創記錄
    http://www.ithome.com.tw/news/110135
    臺灣2017年直播業將是下一波DDoS攻擊標的
    http://www.scrapbase.tk/2016/12/2017ddos_15.html
    Netgear 路由器的使用者請注意安全性風險(更新:更多受影響型號)
    http://chinese.engadget.com/2016/12/13/psa-netgear-vulnerablility/
    運用UBA機制 全面偵測各種資料外洩事件
    http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=8369
    史上頭一遭! 高市C-Bike大當機 證實被駭
    https://video.udn.com/news/610096
    見笑轉生氣?資安公司善意揭露漏洞反遭PwC發律師信警告不准公開
    http://www.ithome.com.tw/news/110201
    大學生退學做"駭客" 60元"買"走60萬充值卡
    http://fan.cnr.cn/gate/big5/m.cnr.cn/news/20161212/t20161212_523325522.html
    支援Linux的首個沙盒版Tor Browser出爐
    http://www.ithome.com.tw/news/110167
    資安威脅三高 駭客淘金熱潮來襲
    https://blog.trendmicro.com.tw/?p=38779
    駭客透過USB裝置,1分鐘就能竊取MacBook使用者的網路資料
    http://drusatha.blog.fc2.com/blog-entry-133.html
    企業防禦新思維:以資料監控分析平臺保護關鍵資產
    http://www.ithome.com.tw/guest-post/109866
    韓軍網路安全主管部門因內網被黑事件遭突查
    http://www.chinesetoday.com/big/article/1157955
    法國成立全球首支網路部隊,駭客攻擊將成為國家宣戰的號角
    https://buzzorange.com/techorange/2016/12/15/france-network-army/
    快速認識常見DDoS攻擊
    http://www.ithome.com.tw/news/110144
    Symantec端點偵防系統強調與自家防毒軟體深度整合,無須重複部署代理程式
    http://www.ithome.com.tw/review/109830
    懷疑俄國發動網路攻擊干預美國大選,歐巴馬下令全面調查
    http://www.ithome.com.tw/news/110163
    Netgear三款路由器韌體爆重大漏洞,允駭客入侵網路
    http://www.ithome.com.tw/news/110159
    Yahoo Mail有重大XSS漏洞,打開郵件就會受駭
    http://www.ithome.com.tw/news/110150
    US-CERT's top tip: Hack your crap Netgear router before miscreants arrive
    http://www.theregister.co.uk/2016/12/13/netgear_r7000_r6400_r8000_security/
    Russian hackers got Trump elected? Yeah, let's take a close look at that, says Obama
    http://www.theregister.co.uk/2016/12/09/obama_russian_election_hacking_investigation/
**D.資料外洩**
    京東數據疑似外泄:超過12個G,涉及數千萬用戶
    http://news.sina.com.tw/article/20161210/19710160.html
    Evernote將更新隱私政策,允許員工檢視用戶筆記內容
    http://www.ithome.com.tw/news/110326
    Yahoo資料外洩 資安業者:不要信任密碼強度指標
    http://udn.com/news/story/7088/2171423
    你的信用卡只要卡號被別人知道,駭客能在六秒鐘內破解你的信用卡到期日以及檢查碼
    https://www.msn.com/zh-tw/news/other/%E4%BD%A0%E7%9A%84%E4%BF%A1%E7%94%A8%E5%8D%A1%E5%8F%AA%E8%A6%81%E5%8D%A1%E8%99%9F%E8%A2%AB%E5%88%A5%E4%BA%BA%E7%9F%A5%E9%81%93%EF%BC%8C%E9%A7%AD%E5%AE%A2%E8%83%BD%E5%9C%A8%E5%85%AD%E7%A7%92%E9%90%98%E5%85%A7%E7%A0%B4%E8%A7%A3%E4%BD%A0%E7%9A%84%E4%BF%A1%E7%94%A8%E5%8D%A1%E5%88%B0%E6%9C%9F%E6%97%A5%E4%BB%A5%E5%8F%8A%E6%AA%A2%E6%9F%A5%E7%A2%BC/ar-AAlAnWq
    德重工業集團ThyssenKrupp遭駭外洩機密,但澄清非潛艇生產資料
    http://www.ithome.com.tw/news/110126
    Uber 前僱員指控公司員工可輕易監控名人、政客、情人的行蹤
    https://theinitium.com/article/20161213-dailynews-uber-tracking/
    女孩們!小心交友軟體上的變態男
    https://blog.trendmicro.com.tw/?p=38845
    LINE正夯認證碼詐騙盛行 警方呼籲嚴防
    http://www.appledaily.com.tw/realtimenews/article/new/20161214/1012212/
    網路黑市批發個資 名列六大資安事件 ( 取材自:中時電子報 )
    http://cc.web2.nhcue.edu.tw/files/13-1002-373.php?Lang=en
    Yahoo資料外洩又一樁,這次規模超過10億
    http://www.ithome.com.tw/news/110324
    電子郵件詐騙盛行 刑事局提醒企業注意
    http://cn.epochtimes.com/b5/16/12/9/n8574423.htm
    陸黑色產業鏈 買賣個資看光隱私
    http://www.chinatimes.com/newspapers/20161213000881-260301
**E.研究報告**
    揭秘360SRC安全應急事件處理全過程(含FFmpeg漏洞分析)
    http://bbs.ichunqiu.com/thread-16503-1-1.html
    【技術分享】利用電商邏輯漏洞爆破信用卡CVV及有效期(含paper)
    http://bobao.360.cn/learning/detail/3276.html
    105年行政院國家資通安全會報資通安全管考作業系統教育訓練教材
    http://download.nccst.nat.gov.tw/attachfilehandout/%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%AE%A1%E8%80%83%E4%BD%9C%E6%A5%AD%E7%B3%BB%E7%B5%B1%E5%A1%AB%E5%AF%AB%E8%AA%AA%E6%98%8E%E8%88%87%E5%B1%95%E7%A4%BA.pdf
    105 政府資通安全防護巡迴研討會 議題一:政府機關近期常見系統弱點與補強建議
    http://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%B8%80%EF%BC%9A%E6%94%BF%E5%BA%9C%E6%A9%9F%E9%97%9C%E8%BF%91%E6%9C%9F%E5%B8%B8%E8%A6%8B%E7%B3%BB%E7%B5%B1%E5%BC%B1%E9%BB%9E%E8%88%87%E8%A3%9C%E5%BC%B7%E5%BB%BA%E8%AD%B0.pdf
    105 政府資通安全防護巡迴研討會 議題二:物聯網威脅與殭屍網路-萬物聯網、萬物皆駭
    http://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%BA%8C%EF%BC%9A%E7%89%A9%E8%81%AF%E7%B6%B2%E5%A8%81%E8%84%85%E8%88%87%E6%AE%AD%E5%B1%8D%E7%B6%B2%E8%B7%AF-%E8%90%AC%E7%89%A9%E8%81%AF%E7%B6%B2%E3%80%81%E8%90%AC%E7%89%A9%E7%9A%86%E9%A7%AD.pdf
    105 政府資通安全防護巡迴研討會 議題三:資安通報宣導
    http://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%B8%89%EF%BC%9A%E8%B3%87%E5%AE%89%E9%80%9A%E5%A0%B1%E5%AE%A3%E5%B0%8E.pdf
    TR-064漏洞受影響廠商設備及TR-064協議安全性分析
    http://www.ifuun.com/a20161210731699/
    遠程文件包含(RFI)漏洞,初學者的大餐
    http://www.twoeggz.com/news/2810062.html
    McAfee Linux版本2016漏洞合集(含漏洞利用PoC)
    http://www.freebuf.com/vuls/123022.html
    [原創] [W3bsafe]實戰挖掘Xss漏洞
    http://bbs.ichunqiu.com/thread-16814-1-1.html
    JAVA:URL存在跨站漏洞,注入漏洞解決方案
    http://blog.csdn.net/yiluoak_47/article/details/53585840
    雅虎郵箱存儲型XSS漏洞,黑客能看任何人的郵件
    http://www.freebuf.com/vuls/122455.html
**F.商業**
    Palo Alto Traps系統針對端點可疑攻擊提供多樣政策機制,能套用17類防護模組
    http://www.ithome.com.tw/review/109826
    Symantec端點偵防系統強調與自家防毒軟體深度整合,無須重複部署代理程式
    http://times.hinet.net/news/19774792
    五大面向著手 微軟Azure Active Directory Premium提供資安防護的第一道防線
    http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=8367
    力悅資訊新產品Votiro:E-mail未知惡意程式閘道防護
    http://www.digitimes.com.tw/tw/dt/n/shwnws.asp?id=0000488512_0O44HPMS2DIV5914DXA7U&ct=1
    資安法拚三讀 洩密罰 200 萬? ARES PP 就是狂
    http://ithelp.ithome.com.tw/articles/10185104
    Check Point 與本地 ISP 合作推出流動裝置保安方案
    http://sina.com.hk/news/article/20161214/0/5/49/Check-Point-%E8%88%87%E6%9C%AC%E5%9C%B0-ISP-%E5%90%88%E4%BD%9C%E6%8E%A8%E5%87%BA%E6%B5%81%E5%8B%95%E8%A3%9D%E7%BD%AE%E4%BF%9D%E5%AE%89%E6%96%B9%E6%A1%88-6672196.html
**G.政府**
    北市成立科技犯罪偵查隊 柯文哲:盼徹底杜絕智慧型犯罪
    http://www.storm.mg/article/199540
    台紐簽署防制垃圾電郵協議 為數位經濟奠定基礎
    http://news.ltn.com.tw/news/politics/breakingnews/1915399
       
  **H.近期惡意郵件Title**
    電影沒有幾千萬也有幾百萬部
    Returned mail: see transcript for details Returned mail: Data format error deposit slip + tt copy for the balance Vencedores 22ª edição deposit slip + tt copy for the balance Vanguard Logistics Services - LCL export sailing schedule via PTP & PGUDECEMBER 2016
      
**I.教育訓練類**
    資訊安全與電子郵件社交工程防範
    http://www.cc.ntust.edu.tw/ezfiles/5/1005/img/479/859467547.pdf
    智慧型手機社交工程
    http://ws-tm.cyhg.gov.tw/Download.ashx?u=LzAwMS9VcGxvYWQvMTMzMC9SZWxGaWxlLzEyNDQ0LzE0ODM4Ni82NTkxNzEyMjY3MS5wZGY%3d&n=Mi7mlrDlnovmhYvpp63lrqLmiYvms5UtLeaZuuaFp%2bWei%2baJi%2bapn%2bekvuS6pOW3peeoiyjorJvnvqkpLnBkZg%3d%3d&icon=.pdf
**J.玄武實驗室每日安全動態推送**
    每日安全動態推送(12-12)  2016-12-12
    http://chuansong.me/n/1281529051831
    每日安全動態推送(12-13)  2016-12-13
    http://chuansong.me/n/1286586251131
    每日安全動態推送(12-14)  2016-12-14
    http://chuansong.me/n/1290874551931
    每日安全動態推送(12-15)  2016-12-15
    http://chuansong.me/n/1301938851331
    每日安全動態推送(12-16)  2016-12-16
    http://chuansong.me/n/1313852751831

**K.物聯網**
    物聯網設備 恐成資安攻擊武器
    http://www.chinatimes.com/newspapers/20161214000148-260204
    IoT camera crew Titathink tells Reg it'll patch GET bug in a week
    http://www.theregister.co.uk/2016/12/05/titathink_to_el_reg_well_patch_the_get_pwnage_bug_within_a_week/
**L.其他**
    無
   
**4.近期資安活動及研討會**
  The Dungeons of Hackers Conference 2016 - 駭客的地下城 2016年12月17日 09:00 ~ 16:00
  http://tdohackerparty.kktix.cc/events/tdoh-conf-2016
  105年行政院國家資通安全會報資通安全管考作業系統教育訓練 2016/12/20 0:00:00至2016/12/20 0:00:00止
  https://register.nccst.nat.gov.tw/
  Dell Enterprise Forum 2016 2016年12月20日
  http://reg.dchsoft.com/reg/Dell_Enterprise_Forum_2016/index1.asp?from=3
  雲的萬物論研討會,為企業IT找一朵最Open的雲 2016.12.22(四)
  https://www.microsoft.com/taiwan/promo/fy17/azureday/?WT.mc_id=azureday_edm
  深入研究 Windows Server 2016 的全方位安全新機制 23rd December 2016 I 1:30 PM - 5:00 PM
  https://www.microsoftevents.com/profile/form/index.cfm?PKformID=0x1006241ff82
  華梵大學資訊管理學系資安學程-2017資訊安全管理系統系列課程 2017/01/16~2017/01/20 2017/01/21~2017/01/25
  http://mis.hfu.edu.tw/news/news.php?Sn=829
  輔大 NISRA Hackathon 2017 2017/01/21 09:00 ~ 2017/01/22 18:00
  http://nisra.kktix.cc/events/hackathon2017

  (台北)亥客書院(資訊安全)培訓課程 2017-02-01
  http://www.1111edu.com.tw/advancedStudies_courseContent.php?autono=163635
  2017 InfoSec Conference Taiwan 2017 Mar 14 - Mar 15
  http://infosec.ithome.com.tw/index_en.html

留言

這個網誌中的熱門文章

Capture the flag資源分享綜整

Capture the flag, CTF,是由古代軍事戰爭演變而來。軍旗在戰場上象徵兩軍戰況,當有一方軍旗被敵軍奪取或落在地上,代表該方戰敗。當這樣的攻防搶旗演變到現代的電子遊戲裡,通常就演變成團隊遊戲模式,由兩隊人馬互相前往對方的基地奪旗,奪旗成功回合次數多者得勝。

5月份資安、社群活動分享

5月份資安、社群活動分享

 108年度資安初學者挑戰活動 (MyFirstCTF) 5/1 ~ 5/10 報名
 https://ais3.org/mfctf/

 HackingThursday 固定聚會  5/2
 https://www.meetup.com/hackingthursday/events/vkhnnqyzhbdb/

 Python 商務網站 * 極速學習 (2019春季 - 台北)  5/2
 https://cjltsod.kktix.cc/events/django-2019-spring-taipei

 國票金控「純網銀鯰魚與資安技術漣漪」日本樂天技術結合台灣AI 人工智慧發表會  5/2
 https://www.accupass.com/event/1904111400151860776797

 資安法 X 技術實務論壇  5/2
 https://csa.kktix.cc/events/csa190502

 國立交通大學 亥客書院 - 基礎網站安全建構實務  5/4
 https://hackercollege.nctu.edu.tw/?p=1045

 ISDA 白帽菁英萌芽計劃II 0505 
 https://reg.shield.org.tw/info.php?no=54

 Pwn入門  5/5
 https://hackersir.kktix.cc/events/fcu190505

 Elixir台灣 台北 Meetup # Monday, May 6, 2019
 https://www.meetup.com/elixirtw-taipei/events/njjhvpyzhbjb/

 公部門之AI資安防護新思維研討會 5/7
 http://www.cisanet.org.tw/News/activity_more?id=MTQzOA==

 向資安服務看齊 我們一起讓資安從「有做」到「有效」  5/8 ~ 5/10
 https://www.informationsecurity.com.tw/Seminar/2019_all/

 資安危機 - 進擊的勒索加密軟體 2019-05-09(四) 14:45 ~ 17:00
 https://www.accupass.com/event/19041703435474776…

6月份資安、社群活動分享

6月份資安、社群活動分享

 學生資安新手村 相關活動整理  淡江大學場  工作坊  6/1(六) 10:00 - 16:00
 https://forms.gle/aBgGfLUYcvJh7hzk9

 學生資安新手村 相關活動整理  高雄科技大學場 06/02(日) 08:30~18:00
 https://nkust-itc.kktix.cc/events/security-beginner-workshop

 資安新手村-網站照妖鏡 SITCON x NKUST_CSIE & ITC  6/2
 https://nkust-itc.kktix.cc/events/security-beginner-workshop

 PyTorch Tainan x CCNS 聚會 #23  6/2
 https://pytorch-tainan.kktix.cc/events/2019-06-02-m23?fbclid=IwAR1s_n_piEyMN0e8NMHk-jjP97-1mjqI-favSKBAdxAglQ3j1aN17_fMmbk

 【課程】Raspberry Pi 相機 x OpenCV 進階應用:攝影拍照、人臉偵測、影像處理與實作 6/2
 https://www.techbang.com/posts/69830-course-raspberry-pi-camera-x-opencv-photo-photography-face-detection-image-processing-and-application

 International Conference  CONSTRUCTIVE THEORY OF FUNCTIONS - 2019  SOZOPOL, June 2 - 8, 2019
http://www.math.bas.bg/mathmod/CTF-2019/

 TW BECKS No.2 6/3
 https://becks.kktix.cc/events/20190603

 軟體安全性測試實務 6/3 ~ 6/4
 https://www.accupass.com/event/1904230701335964656400