2020年 12 月份資安、社群活動分享

 

2020年 12 月份資安、社群活動分享

物聯網資安標章成果發表會 2020/12/01
https://www.taics.org.tw/RecentACTForm.aspx?ACTCat_id=1&ACT_id=11148

從Python到TensorFlow線上讀書會-首部曲(4) -文字字串 12/1
https://www.meetup.com/TensorFlow-User-Group-Taipei/events/274522516

Taipei Rails Meetup 12/1
https://www.meetup.com/rails-taiwan/events/274804079

Badminton Time, come to join us!! Sign up for limited spots. 12/1
https://www.meetup.com/Taipei-Doubles-Badminton-Meetup/events/272208391

資安社 - 大學之道WebSec 12/2
https://nsysuisc.kktix.cc/events/2020websec

比特幣的重要性 12/2
https://www.meetup.com/Taiwan-Bitcoin-Only-Meetup/events/274363177

Taipei Creative Coders Meetup #3 12/2
https://www.meetup.com/tpecreativecoders/events/274688379

國家高速網路與計算中心 教育訓練 【資安中階課程】弱點掃描分析 12/3 (報名到12/1截止)
https://edu.nchc.org.tw/course/one_course_introduction.asp?lms_auto_course_id=3932&from_course_list_url=course_index

資安事件新聞週報 2020/11/23 ~ 2020/11/27

 

 

資安事件新聞週報 2020/11/23  ~  2020/11/27

1.重大弱點漏洞/後門/Exploit/Zero Day
兩中國製路由器被指有「後門」漏洞 沃爾瑪亞馬遜有售
https://reurl.cc/2gGExn

近五萬台 Fortinet VPN 登入資訊遭竊,全球多家金融機構與政府機關被駭
https://www.twcert.org.tw/tw/cp-104-4175-96cb7-1.html

Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379)
https://www.jpcert.or.jp/newsflash/2020112701.html

玩家用蘋果 T2 晶片漏洞 將 Mac 開機聲改成歷代 PlayStation 開機音樂
https://m.eprice.com.tw/tech/talk/1184/5588869/1

Red Hat ceph-ansible 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25677

VMWare 產品多個漏洞
https://www.vmware.com/security/advisories/VMSA-2020-0026.html
https://www.auscert.org.au/bulletins/ESB-2020.4160/

VMware Security Advisory - VMSA-2020-0027
https://www.vmware.com/security/advisories/VMSA-2020-0027.html
https://kb.cert.org/vuls/id/724367

VMWare管理平臺產品Workspace One爆重大指令注入漏洞
https://www.ithome.com.tw/news/141292

資安事件新聞週報 2020/11/16 ~ 2020/11/20

 

資安事件新聞週報 2020/11/16  ~  2020/11/20

1.重大弱點漏洞/後門/Exploit/Zero Day
臺灣未修補SMBGhost漏洞電腦全球最多,存在漏洞的電腦每5臺就有1臺在臺灣
https://www.ithome.com.tw/news/141225

Apple Lets Some of its Big Sur macOS Apps Bypass Firewall and VPNs
https://thehackernews.com/2020/11/apple-lets-some-of-its-big-sur-macos.html

Researcher Discloses Critical RCE Flaws In Cisco Security Manager
https://thehackernews.com/2020/11/researcher-discloses-critical-rce-flaws.html

英特爾CPU曝出漏洞:監視功耗就能輕鬆獲取數據
https://www.techbang.com/posts/82581-intel-cpu-platypus-attack

Intel Security Advisories
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00439.html
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00446.html
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00447.html
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00449.html

PrestaShop 安全漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26224

SAP Security Patch Day – November 2020
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=562725571

IBM Security Family PAM Content Update 4011.06142
https://exchange.xforce.ibmcloud.com/collection/9a90489777df83e8b915bab3f75d39fd

資安事件新聞週報 2020/11/9 ~ 2020/11/13

 


資安事件新聞週報 2020/11/9  ~  2020/11/13


1.重大弱點漏洞/後門/Exploit/Zero Day

拒絕展延修補寬限期,Google準時公布GitHub高風險漏洞

https://www.ithome.com.tw/news/140965


【漏洞預警】Google Chrome瀏覽器存在安全漏洞(CVE-2020-16009),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新

https://www.tcrc.edu.tw/new/new-list/google-chrome-cve-2020-16009


WordPress 擴充套件 wp-file-manager 漏洞,遭大規模用於駭侵攻擊

https://www.twcert.org.tw/tw/cp-104-4125-20090-1.html


Apple Watch Series 輸入驗證錯誤漏洞

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10017


VMware ESXi 高危漏洞的補丁被指不完整

https://blog.csdn.net/smellycat000/article/details/109523748


安全預警- Netlogon提權安全漏洞

https://www.huawei.com/cn/psirt/security-advisories/2020/huawei-sa-20201105-01-netlogon-cn

資安事件新聞週報 2020/11/2 ~ 2020/11/6

 

資安事件新聞週報 2020/11/2  ~  2020/11/6

1.重大弱點漏洞/後門/Exploit/Zero Day
Apache Tomcat WebSocket拒絕服務漏洞(CVE-2020-13935)EXP公開,黑客攻擊正迫在眉睫
https://s.tencent.com/research/report/1172.html

Trend Micro InterScan Messaging Security Virtual Appliance 安全漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27019

Tomcat WebSocket拒絕服務漏洞(CVE-2020-13935)利用代碼公開預警
https://www.huaweicloud.com/notice/2018/20201106173340446.html

Fortinet FortiMail 授權問題漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15933

CloudBees Jenkins Active Directory Plugin 授權問題漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2302

Fedora 33 : yubihsm-shell (2020-8afd443d46)
https://www.tenable.com/plugins/nessus/142040

Cisco IP Phone 8800 Series和Cisco IP Phone 7800 Series 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3574

思科揭露已有攻擊程式問世的AnyConnect零時差漏洞
https://www.ithome.com.tw/news/140945

2020年 11 月份資安、社群活動分享

 


2020年 11 月份資安、社群活動分享

MLDM Monday @ 三創育成 | 建立 Data Pipeline 的基本原則與痛點 11/2
https://www.meetup.com/Taiwan-R/events/273939818

InfoSec Taiwan 2020 - Workshop 實作課程 11/2
https://event.twcsa.org/site/course/7y4p3J0m_oL6h-WZ9XNXcQ..

InfoSec Taiwan 2020 - Briefing 年會 11/3
https://event.twcsa.org/site/course/5t2kIENz-rXMDMsfG5FgQA..

Swift Meetup #57 11/3
https://www.meetup.com/Swift-Taipei-User-Group/events/274207494

Badminton Time, come to join us!! Sign up for limited spots. 11/3
https://www.meetup.com/Taipei-Doubles-Badminton-Meetup/events/272208380

Taipei Rails Meetup 11/3
https://www.meetup.com/rails-taiwan/events/274228707

資安事件新聞週報 2020/10/26 ~ 2020/10/30

 

 

資安事件新聞週報 2020/10/26  ~  2020/10/30

1.重大弱點漏洞/後門/Exploit/Zero Day
FBI警告:駭客藉由配置錯誤的SonarQube實例竊取政府機構與私人企業的原始碼
https://www.ithome.com.tw/news/140816

微軟推送 KB4577586 更新,直接掰了 Adobe Flash Player
https://ccc.technews.tw/2020/10/29/microsoft-kb4577586-windows-10-adobe-flash-player/

Pulse Secure Pulse Connect Secure 和 Pulse Policy Secure 跨站請求偽造漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15352

F5 BIG-IP 安全性漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5933

負載均衡廠商F5 BIG-IP發現拒絕服務漏洞,需要儘快升級
https://finance.sina.com.cn/tech/2020-10-29/doc-iiznezxr8768426.shtml

Weblogic ConSole HTTP 協議代碼執行漏洞POC公開通告
https://read01.com/DnPRjO8.html

騰訊雲防火牆捕獲WebLogic(CVE-2020-14882)1DAY漏洞在野攻擊
https://s.tencent.com/research/bsafe/1165.html

(CVE-2020-14882/14883 )Weblogic未授權命令執行漏洞poc公開,騰訊安全已支持全面檢測
https://s.tencent.com/research/bsafe/1164.html

HPE修補風險評分10.0的容器平臺及儲存軟體重大漏洞
https://www.ithome.com.tw/news/140770

資安事件新聞週報 2020/10/19 ~ 2020/10/23

 

資安事件新聞週報 2020/10/19  ~  2020/10/23

1.重大弱點漏洞/後門/Exploit/Zero Day
臉部辨識裝置爆資安漏洞
https://blog.trendmicro.com.tw/?p=65908

甲骨文10月修補402個漏洞
https://times.hinet.net/topic/23092693

Oracle Database Server Scheduler component 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14735

Magento rubygems openmage/magento-lts 注入漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15244

Juniper Networks Releases Security Updates for Multiple Products
https://us-cert.cisa.gov/ncas/current-activity/2020/10/15/juniper-networks-releases-security-updates-multiple-products

Fortinet FortiOS 安全漏洞
https://www.secfree.com/vul-152579.html

資安事件新聞週報 2020/10/12 ~ 2020/10/16

 

資安事件新聞週報 2020/10/12  ~  2020/10/16

1.重大弱點漏洞/後門/Exploit/Zero Day
Radeon 驅動發現漏洞可致 BSOD 死機
https://reurl.cc/k0oj7q

VMware vCenter Server 任意文件讀取漏洞通告
https://cert.360.cn/warning/detail?id=d50172ef4c867ec7b4735cb1cc366bc1

駭客發現蘋果網路 55 個安全漏洞,其中 11 項標記為「高危險」等級
https://technews.tw/2020/10/15/researchers-found-55-flaws-in-apples-corporate-network/

55 New Security Flaws Reported in Apple Software and Services
https://thehackernews.com/2020/10/apple-security.html

微軟推出十月 Patch Tuesday 資安更新修補包,共修復 87 個資安漏洞
https://www.twcert.org.tw/tw/cp-104-4061-59594-1.html

微軟加強驅動程式驗證可能引發Windows 10錯誤訊息
https://www.ithome.com.tw/news/140550

Microsoft Azure 遭發現漏洞,駭侵者可能接管用戶伺服器
https://www.twcert.org.tw/tw/cp-104-4047-28bc3-1.html

Researchers Find Vulnerabilities in Microsoft Azure Cloud Service
https://thehackernews.com/2020/10/microsoft-azure-vulnerability.html

美國網戰司令部要求立即修補 Windows TCP/IP 漏洞
https://www.twcert.org.tw/tw/cp-104-4063-8722a-1.html

Ping of Death:速修復TCP/IP RCE 漏洞CVE-2020-16898
https://blog.csdn.net/smellycat000/article/details/109108608

微軟WINDOWS TCP/IP堆疊存在安全漏洞(CVE-2020-16898),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
https://www.isda.org.tw/2020/10/16/86aaf73a18de9162ed9ef1a4b540cda1/

資安事件新聞週報 2020/10/5 ~ 2020/10/9

 

資安事件新聞週報 2020/10/5  ~  2020/10/9

1.重大弱點漏洞/後門/Exploit/Zero Day
10大安全軟體爆漏洞,可被用來發動攻擊
https://www.ithome.com.tw/news/140425

防毒軟體反成駭客跳板?!安全軟體有漏洞反而危害更烈
https://reurl.cc/EzgQxg

卡巴/賽門/趨勢/邁克菲/微軟等主流安全產品均自身含有漏洞
https://www.secrss.com/articles/26104

微軟 Windows 10 用戶注意!1709 版下週將終止官方支援服務
https://3c.ltn.com.tw/news/41944

微軟:伊朗駭客正在開採ZeroLogon漏洞
https://www.ithome.com.tw/news/140371

全球最大同志交友軟體驚傳資安漏洞!官方:已修復
https://newtalk.tw/news/view/2020-10-07/475719

Qnap再修補兩重大風險漏洞
https://www.ithome.com.tw/news/140428

英監管機構:華為似無法解決程式缺陷
https://reurl.cc/Q35ayq

華為與中共有「明確共謀證據」! 英國會:應提前撤除華為5G設備
https://newtalk.tw/news/view/2020-10-08/476585

華為和中國政府串通勾結 英國國會:已有明確證據
https://ec.ltn.com.tw/article/breakingnews/3315770

資安事件新聞週報 2020/9/28 ~ 2020/10/2

 

資安事件新聞週報 2020/9/28  ~  2020/10/2

1.重大弱點漏洞/後門/Exploit/Zero Day
【漏洞預警】如有使用(利凌監視器),官網有提供相對的韌體更新
http://webnas.bhes.ntpc.edu.tw/wordpress/archives/18541

Microsoft Exchange 服務器仍然打開以積極利用漏洞
https://www.chainnews.com/zh-hant/articles/720369623479.htm

微軟即將終止支援Exchange 2010,該升級至Exchange 2013還是2016
https://www.ithome.com.tw/news/140299

美國土安全部發布緊急資安警告,呼籲各單位修補避免 Zerologon 漏洞威脅
https://reurl.cc/Q3RK2b

Red Hat 內核 多個漏洞
https://access.redhat.com/errata/RHSA-2020:4060
https://access.redhat.com/errata/RHSA-2020:4062

SAM Seamless Network:FortiGate VPN裝置含有中間人攻擊風險
https://www.ithome.com.tw/news/140233

200K Businesses are Exposed to WFH Attack Scenario
https://securingsam.com/breaching-the-fort/

Fortinet VPN with Default Settings Leave 200,000 Businesses Open to Hackers
https://thehackernews.com/2020/09/fortigate-vpn-security.html

FortiClient MITM Attack
https://www.youtube.com/watch?v=rzBMe8GN9o8

2020年 10 月份資安、社群活動分享


 

2020年 10 月份資安、社群活動分享 

blackhat asia 2020 9/29 ~ 10/2
https://www.blackhat.com/asia-20/

工控資安基礎概論 10/6
http://ai-robot-stsp.tw/course/detail/?get_no=09W045

【RD.ONE分享例會#8】資安是奢侈品嗎?閒話免$$的資安工具 10/7
https://www.accupass.com/event/2009081253195077536620

想要優化系統架構,你必須學習的技能: Google Kubernetes Engine 10/7
https://www.meetup.com/CloudAce-Taiwan-meetup/events/272393771/

#35 學術研究結合 .NET Core 開發IoT應用 - 開發分享 10/7
https://www.meetup.com/Azure-Taiwan/events/271604886/

SyntaxError 10/7
https://www.meetup.com/pythonhug/events/273479031/

國家高速網路與計算中心 【資安進階課程】惡意程式分析 2020/10/8 (四)
https://edu.nchc.org.tw/course/one_course_introduction.asp?lms_auto_course_id=3921&from_course_list_url=course_index

Tea Party with Vitalik Buterin: Eth 2.0 Highlights, Gas Cost Repricing, and More 10/8
https://www.meetup.com/Taipei-Ethereum-Meetup/events/273288712/

資安事件新聞週報 2020/9/21 ~ 2020/9/25

 

資安事件新聞週報 2020/9/21  ~  2020/9/25

1.重大弱點漏洞/後門/Exploit/Zero Day
Trend Micro Security 2019 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24560

美國土安全部發布緊急資安警告,呼籲各單位修補避免 Zerologon 漏洞威脅
https://technews.tw/2020/09/26/cisa-warns-about-that-zerologon/

Windows爆出Zerologon重大漏洞專打AD網域 美府發佈緊急修補指令
https://reurl.cc/odredM

藏了一年!微軟承認 Windows 10 有新 Bug
https://3c.ltn.com.tw/news/41774

Cisco IOS XE Web管理框架安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3475

Cisco IOS和IOS XE 輸入驗證錯誤漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3359

Fortinet FortiAnalyzer 安全漏洞
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202009-1287

Fortinet FortiNAC 跨站脚本漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12816

Fortinet VPN with Default Settings Leave 200,000 Businesses Open to Hackers
https://thehackernews.com/2020/09/fortigate-vpn-security.html

Fortinet 產品多漏洞
https://www.fortiguard.com/psirt/FG-IR-20-033
https://www.fortiguard.com/psirt/FG-IR-20-082
https://www.fortiguard.com/psirt/FG-IR-20-083

F5 BIG-IP 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5929

Palo Alto PAN-OS 多個漏洞
https://www.hkcert.org/my_url/zh/alert/20091102

資安事件新聞週報 2020/9/14 ~ 2020/9/18

 

 

資安事件新聞週報 2020/9/14  ~  2020/9/18

1.重大弱點漏洞/後門/Exploit/Zero Day
PAN-OS之Captive Portal或多因素驗證(Multi-Factor Authentication, MFA)介面存在安全漏洞(CVE-2020-2040)
https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1132

WordPress File Manager 擴充套件含有嚴重 0-day 資安漏洞,約七十萬個網站曝險
https://www.twcert.org.tw/tw/cp-104-3925-ce0b6-1.html

GitLab發布重要安全更新,修補XSS與AWS帳號接管漏洞
https://www.ithome.com.tw/news/139849

微軟9月Patch Tuesday修補129個安全漏洞,23個被列為重大等級
https://www.ithome.com.tw/news/139876

New Unpatched Bluetooth Flaw Lets Hackers Easily Target Nearby Devices
https://thehackernews.com/2020/09/new-bluetooth-vulnerability.html

資安事件新聞週報 2020/9/7 ~ 2020/9/11

 

 

資安事件新聞週報 2020/9/7  ~  2020/9/11

1.重大弱點漏洞/後門/Exploit/Zero Day
美國國土安全部規定所有聯邦機構必須在半年內公布漏洞揭露政策
https://www.ithome.com.tw/news/139797

BLURtooth漏洞可使藍牙裝置遭中間人攻擊,Bluetooth 4.0/5.0裝置皆受影響
https://www.ithome.com.tw/news/139917

Wordpress外掛爆RCE漏洞,70萬網站曝險,已有駭客發動攻擊
https://www.ithome.com.tw/news/139762

WordPress File Manager 擴充套件含有嚴重 0-day 資安漏洞,約七十萬個網站曝險
https://www.twcert.org.tw/tw/cp-104-3925-ce0b6-1.html

Red Hat 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14373

FreeBSD 安全漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24385

GitLab 多個漏洞
https://about.gitlab.com/releases/2020/09/02/security-release-gitlab-13-3-3-released/

Red Hat JBoss 多個漏洞
https://access.redhat.com/errata/RHSA-2020:3585

NETGEAR R8300 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25067

資安事件新聞週報 2020/8/31 ~ 2020/9/4

 

資安事件新聞週報 2020/8/31  ~  2020/9/4

1.重大弱點漏洞/後門/Exploit/Zero Day
Oracle NetSuite 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14729

Aruba Intelligent Edge Switch 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5321

CVE-2020-24616:Jackson 多個反序列化安全漏洞
https://www.anquanke.com/post/id/215721

JustSystems Ichitaro(一太郎)緩衝區溢出漏洞
https://www.freebuf.com/vuls/248109.html

QNAP再被發現有RCE漏洞,廠商雖然早於2017年發布更新韌體,但仍有設備未更新
https://www.ithome.com.tw/news/139710

Slack修補遠端程式攻擊漏洞,只付1,750美元惹爭議
https://www.ithome.com.tw/news/139696

IBM Resilient 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-4579

GitLab 13.3開始提供模糊測試,可發現Go和C/C++應用程式臭蟲
https://www.ithome.com.tw/news/139671

2020年 9 月份資安、社群活動分享

 


2020年 9 月份資安、社群活動分享

Swift Meetup #55 9/1
https://www.meetup.com/Swift-Taipei-User-Group/events/272835401/

Taipei Rails Meetup 9/1
https://www.meetup.com/rails-taiwan/events/272821321/

#34 Azure 虛擬網路與 VPN - 串起彼此的橋樑 9/2
https://www.meetup.com/Azure-Taiwan/events/272626426/

Android Code Club(Taipei) 9/2
https://www.meetup.com/Taiwan-Android-Developer-Study-Group/events/272614406/

中華電信學院 資通安全專業課程訓練 網站弱點偵測與防護管理 9/4
https://www.chtti.cht.com.tw/general/course_info.jsp?activity_id=58

交通大學亥客書院 電子郵件之偽造攻擊與防護措施 9/5
https://hackercollege.nctu.edu.tw/?p=1203

台灣駭客年會 HITCON Training 2020 9/5
https://hitcon.kktix.cc/events/hitcon-training-2020

台灣駭客年會 HITCON Training 2020 - 學生報名 9/5
https://hitcon.kktix.cc/events/hitcon-training-2020-student

資安事件新聞週報 2020/8/24 ~ 2020/8/28

 

資安事件新聞週報 2020/8/24  ~  2020/8/28

1.重大弱點漏洞/後門/Exploit/Zero Day
Cisco 修補完成多個影響交換器、光纖儲存設備的嚴重資安漏洞
https://www.twcert.org.tw/tw/cp-104-3908-5b5bd-1.html

Google 修復可造成遠端執行任意程式碼的嚴重 Chrome 漏洞
https://www.twcert.org.tw/tw/cp-104-3905-b33da-1.html

Google Researcher Reported 3 Flaws in Apache Web Server Software
https://thehackernews.com/2020/08/apache-webserver-security.html

IBM Content Navigator 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4687

微軟緊急推出資安修補更新,修復兩個可提升執行權限的嚴重資安漏洞
https://www.twcert.org.tw/tw/cp-104-3891-5dc4f-1.html

New Jenkins Vulnerability Let Hackers Steal Sensitive Information By Obtain HTTP Response Headers
https://gbhackers.com/jenkins-vulnerability/

Alert!! Critical Bugs in Cisco Products Let Hackers Execute Arbitrary Code to Gain Admin Access
https://gbhackers.com/crtical-cisco-vulnerabilities/

資安事件新聞週報 2020/8/17 ~ 2020/8/21

 

 
 資安事件新聞週報 2020/8/17  ~  2020/8/21

1.重大弱點漏洞/後門/Exploit/Zero Day
快更新Chrome瀏覽器!以免遭駭客遠距竊取個資
https://newtalk.tw/news/view/2020-08-11/449330

Google Chrome Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/08/stable-channel-update-for-desktop_18.html

資安廠商發現以 Chromium 為基礎的瀏覽器,均存有可輕易跳過內容安全原則的嚴重 0-day 漏洞
https://www.twcert.org.tw/tw/cp-104-3857-87101-1.html

Apache HTTP Server 披露多個安全漏洞,騰訊主機安全支持檢測
https://www.chainnews.com/zh-hant/articles/515043208760.htm

PoC Exploit Targeting Apache Struts Surfaces on GitHub
https://threatpost.com/poc-exploit-github-apache-struts/158393/

TeamViewer存在安全漏洞,用戶密碼可被破解
https://www.freebuf.com/vuls/246200.html

數十億用戶可能受影響 - Chrome 瀏覽器發現了一個存在最少 1 年的漏洞
https://hk.xfastest.com/65062/chrome-cve-2020-6519/

Citrix Endpoint Management 多個高危漏洞通告
https://www.anquanke.com/post/id/214023

Snapdragon DSP 被揭嚴重漏洞   全球 40% 裝置隨時中招
https://m.eprice.com.hk/mobile/talk/4247/216421/1/

資安事件新聞週報 2020/8/10 ~ 2020/8/14

 

 
資安事件新聞週報 2020/8/10  ~  2020/8/14

1.重大弱點漏洞/後門/Exploit/Zero Day
高通、聯發科Wi-Fi晶片發現漏洞,訊號傳輸、數據封包恐被攔截
https://www.bnext.com.tw/article/58801/krook-serious-vulnerability-affected-encryption-billion-wifi-devices-qualcomm-mediatek

TeamViewer 曝漏洞 瀏覽特定網頁即可被無密碼入侵
https://www.chainnews.com/zh-hant/articles/996871847939.htm

安全研究人員:衛星網路含有可被竊聽的安全漏洞
https://www.ithome.com.tw/news/139281

路由器,交換機和 AnyConnect VPN 中的高度嚴重漏洞
https://www.chainnews.com/zh-hant/articles/384089921935.htm

Windows 10再爆Print Spooler組件漏洞曾修復一次但被繞過
https://www.sohu.com/a/412020059_99956743

Intel, ARM, IBM, AMD Processors Vulnerable to New Side-Channel Attacks
https://thehackernews.com/2020/08/foreshadow-processor-vulnerability.html

FreeBSD 安全漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7459

Kibana拒絕服務和跨站腳本漏洞預警
https://www.secrss.com/articles/24531

資安事件新聞週報 2020/8/3 ~ 2020/8/7

 

            資安事件新聞週報 2020/8/3  ~  2020/8/7

1.重大弱點漏洞/後門/Exploit/Zero Day
D-Link DIR-816L命令注入漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15893

GRUB 多個漏洞
https://www.hkcert.org/my_url/zh/alert/20073004

Critical GRUB2 Bootloader Bug Affects Billions of Linux and Windows Systems
https://thehackernews.com/2020/07/grub2-bootloader-vulnerability.html

全球數十億筆電與伺服器危矣!BootHole漏洞無差別攻擊Linux及Windows作業系統
https://reurl.cc/O1dOeD

Vulnerability Spotlight: Microsoft issues security update for Azure Sphere
https://blog.talosintelligence.com/2020/07/vuln-spotlight-azure-sphere-july-2020.html

Netgear 產品遠端執行任意程式碼漏洞
https://kb.netgear.com/000062158/Security-Advisory-for-Pre-Authentication-Command-Injection-on-R8300-PSV-2020-0211
https://kb.netgear.com/000062127/Security-Advisory-for-Pre-Authentication-Buffer-Overflow-on-R6700v3-PSV-2020-0202

資安防護有漏洞?IG傳偷開用戶攝像頭 官方回應:系統程式錯誤
https://life.tw/?app=view&no=1117657

從 MicroStrategy 入手發現 Facebook 的 XSS 漏洞
https://www.chainnews.com/zh-hant/articles/279335819156.htm

多款Qualcomm產品资源管理錯誤漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11120

蘋果 Face ID / Touch ID 安全晶片傳漏洞!無法修復、iPhone 5S 後續機種中招
https://3c.ltn.com.tw/news/41234

資安事件新聞週報 2020/7/27 ~ 2020/7/31




資安事件新聞週報 2020/7/27  ~  2020/7/31

1.重大弱點漏洞/後門/Exploit/Zero Day
美英資安機關警告,全球約6萬餘台NAS遭感染,QNAP提醒用戶須回復出廠預設後再作更新
https://www.twcert.org.tw/tw/cp-104-3817-d8539-1.html

US, UK Agencies Warn: QNAP NAS Devices Vulnerable
https://www.bankinfosecurity.com/us-uk-agencies-warn-qnap-nas-devices-vulnerable-a-14719

QSnatch Data-Stealing Malware Infected Over 62,000 QNAP NAS Devices
https://thehackernews.com/2020/07/qnap-nas-malware-attack.html

Grub2含有BootHole安全漏洞,PC、伺服器、工作站或IoT裝置都遭殃
https://www.ithome.com.tw/news/139133

安全啟動功能曝出BootHole新漏洞影響大量Linux與Windows系統
https://m.cnbeta.com/view/1009469.htm

德國信息安全局發現醫療設備存在安全漏洞
http://big5.sputniknews.cn/science/202007271031845268/

2020年 8 月份資安、社群活動分享


2020年 8 月份資安、社群活動分享

夏日轉職工作坊-UI/UX 08/01(六)
https://www.meetup.com/TaipeiWomeninTech/events/271913121/

COSCUP 2020  8/1
https://coscup.org/2020/zh-TW

TWJUG 202008 聚會 8/1
https://www.meetup.com/taiwanjug/events/272115926/

Coffee & Code 8/2
https://www.meetup.com/Innovate-Taiwan/events/272039322/

資安事件新聞週報 2020/7/20 ~ 2020/7/24

資安事件新聞週報 2020/7/20  ~  2020/7/24

1.重大弱點漏洞/後門/Exploit/Zero Day
被指控手機 App 存在資安漏洞 DJI 反駁:阻止逃避飛安功能之破解
https://reurl.cc/L38KRx

研究稱大疆無人機控制應用存在安全漏洞
https://cn.nytimes.com/usa/20200724/dji-drones-security-vulnerability/

又一「中國製造」被曝安全漏洞 搜集手機信息
https://tw.aboluowang.com/2020/0724/1480944.html

Researchers Reveal New Security Flaw Affecting China's DJI Drones
https://thehackernews.com/2020/07/dji-drone-hacking_24.html

DJI ANDROID GO 4 APPLICATION SECURITY ANALYSIS
https://www.synacktiv.com/en/publications/dji-android-go-4-application-security-analysis.html

DJI Privacy Analysis Validation
https://blog.grimm-co.com/2020/07/dji-privacy-analysis-validation.html

資安事件新聞週報 2020/7/13 ~ 2020/7/17

資安事件新聞週報 2020/7/13  ~  2020/7/17

1.重大弱點漏洞/後門/Exploit/Zero Day

警惕wifi漏洞  
http://gat.jiangsu.gov.cn/art/2020/7/9/art_6373_9298309.html

The Onion Router 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15572

Juniper修補防火牆、路由器可能導致DoS的漏洞
https://www.ithome.com.tw/news/138793

多款名牌家用無線路由器,均含有嚴重資安漏洞
https://www.twcert.org.tw/tw/cp-104-3780-ca726-1.html

Zoom修補影響Windows 7及之前版本的零時差漏洞
https://www.ithome.com.tw/news/138798

SAP修復NetWeaver AS JAVA 應用伺服器重大資安漏洞
https://www.twcert.org.tw/tw/cp-104-3777-73d7d-1.html

SAP修補NetWeaver重大漏洞RECON,可讓駭客接管系統,影響4萬用戶
https://www.ithome.com.tw/news/138851

資安事件新聞週報 2020/7/6 ~ 2020/7/10






資安事件新聞週報 2020/7/6  ~  2020/7/10

1.重大弱點漏洞/後門/Exploit/Zero Day
Palo Alto Networks修補其防火牆作業系統的重大安全漏洞
https://www.ithome.com.tw/news/138526

多款知名家用路由器使用老舊Linux核心,連帶藏匿大量安全漏洞
https://www.ithome.com.tw/news/138633

Micro Focus NetIQ Identity Manager 安全漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11849

Citrix Issues Critical Patches for 11 New Flaws Affecting Multiple Products
https://thehackernews.com/2020/07/citrix-software-security-update.html

Hackers are trying to steal admin passwords from F5 BIG-IP devices
https://www.zdnet.com/article/hackers-are-trying-to-steal-admin-passwords-from-f5-big-ip-devices/

PoC exploits released for F5 BIG-IP vulnerabilities, patch now
https://www.bleepingcomputer.com/news/security/poc-exploits-released-for-f5-big-ip-vulnerabilities-patch-now/#.XwI81l4YpbY.twitter

F5 BIG-IP重大RCE漏洞可造成駭客控制系統、侵入內網 已有攻擊程式出現
https://reurl.cc/nzGdYl

F5 BIG-IP重大RCE漏洞可造成駭客控制系統、侵入內網 已有攻擊程式出現
https://reurl.cc/nzGdYl

修補了嗎?F5 BIG-IP重大RCE漏洞已出現攻擊程式
https://www.ithome.com.tw/news/138629

資安事件新聞週報 2020/6/29 ~ 2020/7/3

資安事件新聞週報 2020/6/29  ~  2020/7/3

1.重大弱點漏洞/後門/Exploit/Zero Day
FortiAnalyzer 阻斷服務漏洞
https://fortiguard.com/psirt/FG-IR-20-036

ZyXEL CloudCNM SecuManager 安全漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15324

IBM WebSphere Application Server漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4449

IBM Security Secret Server 跨站脚本漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4323

Cisco Data Center Network Manager跨站脚本漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3356

Cisco UCS Director路徑遍歷漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3241

微軟警告愈來愈多駭客開採Exchange伺服器漏洞
https://www.ithome.com.tw/news/138440

CVE-2020-1181: SharePoint 遠程代碼執行漏洞通告
https://blog.csdn.net/weixin_45728976/article/details/106929274

8萬臺印表機連接埠可從公開網路存取有被駭之虞,臺灣曝險印表機數量全球第三
https://www.ithome.com.tw/news/138421

Bitdefender防毒軟體遭爆含有遠端程式攻擊漏洞
https://www.ithome.com.tw/news/138418

BitDefender修复可致攻击者远程运行命令的漏洞
https://www.freebuf.com/column/241163.html

2020年 7 月份資安、社群活動分享


2020年 7 月份資安、社群活動分享

Elements of AI Online Study Group(0701)7/1
https://www.meetup.com/TaipeiWomeninTech/events/270416793/

IRCON 2020 臺灣資訊安全事件應變研討會 7/1
https://nchc-cdx.kktix.cc/events/ircon2020

Docker + K8s 讀書會 #10 7/1
https://www.meetup.com/GDGCloud-Kaohsiung/events/271284710/

高雄 Rails Meetup 7/1
https://www.meetup.com/rails-taiwan/events/271517257/

#32 TBD 7/1
https://www.meetup.com/Azure-Taiwan/events/271493233/

Android 11 Meetup - Machine Learning 7/2
https://www.meetup.com/GDG-Hualien/events/271372660/

資安事件新聞週報 2020/6/22 ~ 2020/6/26








資安事件新聞週報 2020/6/22  ~  2020/6/26

1.重大弱點漏洞/後門/Exploit/Zero Day
微軟六月發佈之漏洞修補數量,創有史以來最高
https://www.eset.tw/html/86/202006191/

Netgear路由器安全漏洞六個月後終於修復
https://bit.ly/315KOZz

瀚淶科技發佈NETGEAR 產品安全性通知 建議使用者更新韌體修補
https://bit.ly/3178OeE

國內網通設備廠商修復存於家用路由器的嚴重資安漏洞
https://www.twcert.org.tw/tw/cp-104-3721-9ca72-1.html

Cisco WebEx 被發現記憶體傾印資安漏洞
https://www.twcert.org.tw/tw/cp-104-3717-c993a-1.html

Webex修復兩個嚴重漏洞,兩者可使黑客運行任意程序以及代碼
https://www.expreview.com/74776.html

Cisco Wireless LAN Controller Software緩衝區溢出漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3273

物聯網設備「驚爆」底層漏洞
https://kknews.cc/tech/lv4xvvz.html

New Ripple20 Flaws Put Billions of Internet-Connected Devices at Risk of Hacking
https://thehackernews.com/2020/06/new-critical-flaws-put-billions-of.html

Oracle E-Business Suite Flaws Let Hackers Hijack Business Operations
https://thehackernews.com/2020/06/oracle-e-business-suite.html

IBM Security Guardium漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4193

資安事件新聞週報 2020/6/15 ~ 2020/6/19





資安事件新聞週報 2020/6/15  ~  2020/6/19

1.重大弱點漏洞/後門/Exploit/Zero Day
GeoVision門禁控制設備 - Shared cryptographic keys
https://www.twcert.org.tw/tw/cp-132-3696-6601c-1.html

中華資安國際發現CVE弱點,日本知名電子郵件系統具有跨網站指令碼漏洞
https://www.chtsecurity.com/news/ca1c22e7-d523-4c8d-86c2-ebb43aa193df

WordPress 多個漏洞
https://wordpress.org/news/2020/06/wordpress-5-4-2-security-and-maintenance-release/

蘋果電腦存在硬體漏洞?黑客5分鐘就可以入侵
https://kknews.cc/digital/x4elgmo.html

Intel CPUs Vulnerable to New 'SGAxe' and 'CrossTalk' Side-Channel Attacks
https://thehackernews.com/2020/06/intel-sgaxe-crosstalk-attacks.html

CVE-2020-13844 | ARM CPU SLS漏洞通告
https://www.venustech.com.cn/article/1/11830.html

79款Netgear路由器被曝遠程劫持0day,暫無補丁
https://www.secrss.com/articles/20405

Cisco WebEx 被發現記憶體傾印資安漏洞
https://www.twcert.org.tw/tw/cp-104-3717-c993a-1.html

多款Cisco產品輸入驗證錯誤漏洞(CNVD-2020-32900)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3228

IBM QRadar SIEM代碼問題漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4509

資安事件新聞週報 2020/6/8 ~ 2020/6/12

資安事件新聞週報 2020/6/8  ~  2020/6/12

1.重大弱點漏洞/後門/Exploit/Zero Day
Totolink等多家廠商無線分享器存在漏洞,已遭駭客鎖定駭入並設定VPN作為跳板
https://www.ithome.com.tw/news/138103

Fortinet FortiAnalyzer 跨站脚本漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6640

思科(Cisco)路由器和交換機重大漏洞:可被控製或導致癱瘓
https://tech.sina.com.cn/roll/2020-06-08/doc-iirczymk5859335.shtml

Sophos 防火牆作業系統爆0日漏洞,應用伺服器被批量掛勒索病毒
https://kknews.cc/tech/oq295gm.html

UPNP 協議存在嚴重漏洞 , 攻擊者可劫持智能設備發起 DDoS 攻擊
https://www.chainnews.com/zh-hant/articles/964410354333.htm

CallStranger UPnP漏洞影響了數十億台設備
https://zhuanlan.zhihu.com/p/147188406

系統或遭完全控制?Cisco IOS路由器中存在嚴重漏洞
https://www.easyaq.com/news/2147307851.shtml

資安事件新聞週報 2020/6/1 ~ 2020/6/5





資安事件新聞週報 2020/6/1  ~  2020/6/5

1.重大弱點漏洞/後門/Exploit/Zero Day
VMware Security Advisories VMSA-2020-0011
https://www.vmware.com/security/advisories/VMSA-2020-0011.html

VMware雲監測平台被曝嚴重漏洞,可導致黑客接管企業服務器
https://www.secrss.com/articles/19954

Critical VMware Cloud Director Flaw Lets Hackers Take Over Corporate Servers
https://thehackernews.com/2020/06/vmware-cloud-director-exploit.html

研究員從主流操作系統上發現26個USB驅動漏洞
https://www.secrss.com/articles/19860

IBM MQ 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4352

Chrome瀏覽器重大資安問題7成都出在記憶體?Google回應這麼說
https://bit.ly/2XfxL5d

MINDSHARE: HARDWARE REVERSING WITH THE TP-LINK TL-WR841N ROUTER
https://www.zerodayinitiative.com/blog/2019/9/2/mindshare-hardware-reversing-with-the-tp-link-tl-wr841n-router

MINDSHARE: HARDWARE REVERSING WITH THE TP-LINK TL-WR841N ROUTER - PART 2
https://www.zerodayinitiative.com/blog/2019/12/2/mindshare-hardware-reversing-with-the-tp-link-tl-wr841n-router-part-2

資安事件新聞週報 2020/5/25 ~ 2020/5/29


資安事件新聞週報 2020/5/25  ~  2020/5/29

1.重大弱點漏洞/後門/Exploit/Zero Day
針對8萬個應用程式的調查發現,有7成程式含有開源漏洞
https://www.ithome.com.tw/news/137846

美國安局警告,俄羅斯駭客正在開採Exim漏洞
https://www.ithome.com.tw/news/137947

STATE OF SOFTWARE SECURITY Open Source Edition
https://www.veracode.com/sites/default/files/pdf/resources/reports/state-of-software-security-open-source-edition-veracode-report.pdf

多種DNS解析程序被發現漏洞允許攻擊者發動拒絕服務攻擊
https://www.cnbeta.com/articles/tech/982263.htm

一個新的 DNS 安全漏洞被曝出,可引發大規模的 DDoS“轟炸
https://www.chainnews.com/zh-hant/articles/855208189865.htm

NXNSAttack:DNS協議安全漏洞通告
https://www.anquanke.com/post/id/207004

研究人員發現DNS查詢遞迴漏洞,影響多數DNS伺服器,企業應儘速採取修補作業
https://www.ithome.com.tw/news/137777

Microsoft Warns of Vulnerability Affecting Windows DNS Server
https://www.darkreading.com/threat-intelligence/microsoft-warns-of-vulnerability-affecting-windows-dns-server/d/d-id/1337872

New DNS Vulnerability Lets Attackers Launch Large-Scale DDoS Attacks
https://thehackernews.com/2020/05/dns-server-ddos-attack.html

Fortinet FortiClient 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9291

駭客企圖開採已修補的Sophos防火牆漏洞來散布勒索軟體
https://www.ithome.com.tw/news/137809

Hackers are exploiting a Sophos firewall zero-day
https://www.zdnet.com/article/hackers-are-exploiting-a-sophos-firewall-zero-day/

電郵爆資安漏洞?被陌生人看光…無須認證就能檢閱信件內容
https://bit.ly/2ZwpKKG

2020年 6 月份資安、社群活動分享






2020年 6 月份資安、社群活動分享

數位轉型攻略:後疫時代企業生存法則 數位轉型領先企業戰力大公開 6/1
https://event.ithome.com.tw/live/20200601/signup.html?v=1590718274?v=

數位轉型攻略:後疫時代企業生存法則 AI 企業今年 IT 戰略大公開 6/2
https://event.ithome.com.tw/live/20200601/signup.html?v=1590718274?v=

Java Spring安全程式開發實務班 6/2 ~ 6/3
https://www.iiiedu.org.tw/courses/msa466t2001/

2020網路及資訊安全研討會 6/3
https://cnis2020.csie.uch.edu.tw/

PyData Taipei 2020-06 Meetup 6/3
https://www.meetup.com/PyData-Taipei-Meetup-Group/events/270690493/

Slack 開外掛 - 用 Bottender framework 串接 Slack API 6/3
https://www.meetup.com/slack-platform-community-taipei/events/270702834/

誰來晚餐-資安人的聚會 6/4
https://event.twcsa.org/site/course/110

邊緣計算系統之大數據與深度學習應用 6/5
https://edu.nchc.org.tw/course/one_course_introduction.asp?lms_auto_course_id=3884&from_course_list_url=course_index

資安事件新聞週報 2020/5/18 ~ 2020/5/22

資安事件新聞週報 2020/5/18  ~  2020/5/22

1.重大弱點漏洞/後門/Exploit/Zero Day
Fortinet 產品阻斷服務漏洞
https://fortiguard.com/psirt/FG-IR-16-039

QNAP軟體有RCE漏洞,波及數十萬臺NAS硬體
https://www.ithome.com.tw/news/137748

藍牙沒用記得關!藍牙爆資安漏洞 駭客偽裝信任設備悄悄入侵
https://bit.ly/3gn2KnE

藍牙協定含有配對漏洞將讓駭客假冒裝置身分
https://ithome.com.tw/news/137740

Adobe緊急修補遠端程式攻擊漏洞
https://www.ithome.com.tw/news/137751

iOS 13.5 正式推出 修電郵軟件漏洞但暴露通知香港有得用
https://bit.ly/2yo2C62

研究人員發現DNS查詢遞迴漏洞,影響多數DNS伺服器,企業應儘速採取修補作業
https://www.ithome.com.tw/news/137777

FBI warns about attacks on Magento online stores via old plugin vulnerability
https://www.zdnet.com/article/fbi-warns-about-attacks-on-magento-online-stores-via-old-plugin-vulnerability/#ftag=RSSbaffb68

Vulnerability Spotlight: Multiple vulnerabilities in Nitro Pro PDF reader
https://blog.talosintelligence.com/2020/05/vuln-spotlight-Nitro-pro-pdf-may-2020.html

資安事件新聞週報 2020/5/11 ~ 2020/5/15

資安事件新聞週報 2020/5/11  ~  2020/5/15

1.重大弱點漏洞/後門/Exploit/Zero Day
美國政府公布最常被駭客開採的前十大安全漏洞
https://www.ithome.com.tw/news/137594

Google Chrome 多個漏洞
https://chromereleases.googleblog.com/2020/05/stable-channel-update-for-desktop.html

Warning: Citrix ShareFile Flaw Could Let Attackers Steal Corporate Secrets
https://thehackernews.com/2020/05/citrix-sharefile-vulnerability.html

Apache Tomcat 重大漏洞 請多款資訊平台管理者盡快更新
http://www.cc.ntu.edu.tw/chinese/cert/cert20200513.asp

Change This Browser Setting to Stop Xiaomi from Spying On Your Incognito Activities
https://thehackernews.com/2020/05/xiaomi-browser-history.html

Oracle iPlanet Web Server 安全漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9315

資安事件新聞週報 2020/5/4 ~ 2020/5/8






資安事件新聞週報 2020/5/4  ~  2020/5/8

1.重大弱點漏洞/後門/Exploit/Zero Day
Redmi Note 8 隱身模式下仍收集資料傳阿里,小米指是一場誤會
https://qooah.com/2020/05/03/redmi-note-8-still-collects-data-in-stealth-mode/

小米手機瀏覽器存在漏洞,“無痕”模式依然洩露隱私
http://finance.jrj.com.cn/tech/2020/05/02110129461314.shtml

小米招了,坦言偷傳資料到北京,公開道歉並緊急更新手機系統
https://www.ithome.com.tw/news/90016

小米手機偷個資?資安專家錄下過程,小米官方回應將更新改善
https://technews.tw/2020/05/04/xiaomi-redmi-note-pricavy-issue/

小米爆資安疑慮!將用戶資料傳回中國
https://bit.ly/2z7AAeV

無痕模式也難逃!小米手機遭爆追蹤用戶一舉一動
https://3c.ltn.com.tw/news/40275

報導:小米手機就算在無痕狀態,也會追蹤用戶習慣及瀏覽資料
https://www.ithome.com.tw/news/137364

【用家留意】小米爆私隱收集漏洞 急推瀏覽器更新
https://bit.ly/35ACgK6

Change This Browser Setting to Stop Xiaomi from Spying On Your Incognito Activities
https://thehackernews.com/2020/05/xiaomi-browser-history.html

駭客利用外掛漏洞,對近百萬個WordPress網站發動大規模攻擊
https://www.ithome.com.tw/news/137432

正常聊個天手機就被黑了?蘋果一口氣曝出13個遠程攻擊漏洞
https://kknews.cc/tech/m9gooq9.html

SaltStack最新漏洞已被Kinsing挖礦殭屍網路利用
https://m.threatbook.cn/detail/2647

漏洞一披露就被利用,LineageOS、Ghost 服務器遭黑客入侵
https://www.freebuf.com/news/235833.html

資安事件新聞週報 2020/4/27 ~ 2020/5/1






資安事件新聞週報 2020/4/27  ~  2020/5/1

1.重大弱點漏洞/後門/Exploit/Zero Day
Hackers are exploiting a Sophos firewall zero-day
https://www.zdnet.com/article/hackers-are-exploiting-a-sophos-firewall-zero-day/#ftag=RSSbaffb68

Hackers exploit zero-day in Sophos XG Firewall, fix released
https://www.bleepingcomputer.com/news/security/hackers-exploit-zero-day-in-sophos-xg-firewall-fix-released/

Sophos緊急修補旗下防火牆已遭開採的零時差漏洞
https://www.ithome.com.tw/news/137239

Pulse Connect Secure の脆弱性への対策や侵害有無などの確認を
https://www.jpcert.or.jp/newsflash/2020041701.html

Fixing SQL injection vulnerability and malicious code execution in XG Firewall/SFOS
https://community.sophos.com/kb/en-us/135412

Fortinet 產品繞過保安限制漏洞
https://fortiguard.com/psirt/FG-IR-20-045

McAfee 產品繞過保安限制漏洞
https://kc.mcafee.com/corporate/index?page=content&id=SB10316
https://kc.mcafee.com/corporate/index?page=content&id=KB92752

IBM DB2 多個漏洞
https://www.ibm.com/support/pages/node/6198380

Juniper Junos OS 遠端執行程式碼漏洞
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11021

Samba 多個漏洞
https://www.samba.org/samba/security/CVE-2020-10704.html
https://www.samba.org/samba/security/CVE-2020-10700.html

ZyXEL Zyxel XGS2210-52HP跨站脚本漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13495

2020年 5 月份資安、社群活動分享


2020年 5 月份資安、社群活動分享

SDN x Cloud Native Meetup - Webinar 海外篇 #2  5/2
https://www.meetup.com/CloudNative-Taiwan/events/269994432/

人工智慧拼資安升級實作班 5/4
https://www.iiiedu.org.tw/courses/msa376t2001/

Wi-Fi 6 進場的時間到了嗎 5/5
https://seminar.ithome.com.tw/live/extreme2020/index.html?utm_source=iThome&utm_medium=seminar

Study Group - Clean Coder 5/7
https://www.meetup.com/Women-Who-Code-Taipei/events/jlmfprybchbkb/

CISSP 資訊安全認證課程 5/7 ~ 7/4
https://www.accupass.com/event/2002130410356136663450

2020 Quantum系列再進化,全產品隆重上市與安全銷售包裝說明 5/12
https://bit.ly/2VzDodV

資安事件新聞週報 2020/4/20 ~ 2020/4/24


資安事件新聞週報 2020/4/20  ~  2020/4/24

1.重大弱點漏洞/後門/Exploit/Zero Day
Google Chrome 記憶體釋放後使用漏洞
https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_15.html

Google Chrome爆重大安全漏洞 20億用家或陷攻擊風險
https://bit.ly/3auiykn

蘋果電郵程式存漏洞 5億用戶陷資料被盜風險
http://www.takungpao.com.hk/international/text/2020/0423/440693.html

蘋果電郵應用程式有漏洞 5億iPhone用戶易受駭客攻擊
https://tw.appledaily.com/international/20200423/WQ2FFRDG6FUIRR4WV424H4E5XM/

郵件程式爆漏洞!空白郵件別亂點…五億用戶成駭客眼中大肥羊
https://cnews.com.tw/137200423a02/

iPhone郵件爆資安漏洞 蘋果研發修補程式
https://money.udn.com/money/story/5602/4515036

iPhone Mail應用程式爆資安漏洞!5億支iPhone易受攻擊
https://www.ettoday.net/news/20200423/1698054.htm

Apple investigating report of a new iOS exploit being used in the wild
https://www.zdnet.com/article/apple-investigating-report-of-a-new-ios-exploit-being-used-in-the-wild/#ftag=RSSbaffb68

iPhone與iPad有安全漏洞 收到空白電郵可能遭駭
https://www.cna.com.tw/news/firstnews/202004230046.aspx

研究:iOS Mail App爆存在8年的零時差漏洞,無需點擊就被駭
https://www.ithome.com.tw/news/137163

Liferay Portal –利用遠程執行代碼漏洞(CERT-EU安全通報2020-022)
https://digitpol.hk/zh-TW/liferay-portal-exploited-remote-code-execution-vulnerabilities-cert-eu-security-advisory-2020-022/

微軟遠端桌面用戶端漏洞可讓駭客執行遠端程式碼,但微軟不願修補
https://www.ithome.com.tw/news/137136

微軟緊急修補Office及小畫家3D的遠端程式攻擊漏洞
https://www.ithome.com.tw/news/137165

資安事件新聞週報 2020/4/13 ~ 2020/4/17


資安事件新聞週報 2020/4/13  ~  2020/4/17

1.重大弱點漏洞/後門/Exploit/Zero Day
Webhooks URL洩漏可致Slack用戶受釣魚攻擊
https://www.ithome.com.tw/news/137038

多款Fortinet產品資源管理錯誤漏洞
https://fortiguard.com/psirt/FG-IR-19-013

駭客找出 Safari「零日漏洞」!蘋果反而祭出百萬獎金
https://3c.ltn.com.tw/news/40007

Oracle Hyperion Financial Reporting 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2769

Oracle JD Edwards EnterpriseOne Tools 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2733

VMware修補vCenter Server高風險漏洞
https://www.ithome.com.tw/news/136958

WebSphere 遠程代碼執行漏洞
https://nosec.org/home/detail/4438.html

下載超過1億的SuperVPN存在中間人攻擊漏洞尚未修補,遭Google下架
https://www.ithome.com.tw/news/136911

FreeRDP 發佈安全更新 連續修復 6 個由知道創宇 404 實驗室提交的 CVE 漏洞
https://www.chainnews.com/zh-hant/articles/281226761296.htm

uppy npm package服務器端請求偽造漏洞
https://www.npmjs.com/package/uppy

Tencent QQBrowser 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10551

資安事件新聞週報 2020/4/6 ~ 2020/4/10






資安事件新聞週報 2020/4/6 ~ 2020/4/10

1.重大弱點漏洞/後門/Exploit/Zero Day
Safari漏洞讓惡意網站冒充Zoom、Skype存取iPhone或Mac電腦相機
https://www.ithome.com.tw/news/136767

Palo Alto PAN-OS 多個漏洞
https://security.paloaltonetworks.com/PAN-SA-2020-0002
https://security.paloaltonetworks.com/CVE-2020-1990
https://security.paloaltonetworks.com/CVE-2020-1992

Mozilla緊急修補兩個已被開採的Firefox零時差漏洞
https://www.ithome.com.tw/news/136796

Mozilla Firefox 修復可能遭遠端執行任意程式碼之 0-day 漏洞
https://www.twcert.org.tw/tw/cp-104-3503-c4955-1.html

全球仍有35萬個Exchange伺服器尚未修補CVE-2020-0688漏洞
https://www.ithome.com.tw/news/136800

時間緊迫,公網上存在35萬台Microsoft Exchange 服務器還未修復早在2月披露的漏洞(CVE-2020-0688)
https://blog.rapid7.com/2020/04/06/phishing-for-system-on-microsoft-exchange-cve-2020-0688/

HP電腦使用8年的技術支援軟體含有多項安全漏洞,即使新版也仍有漏洞未補完
https://www.ithome.com.tw/news/136770

agios XI 多個安全漏洞
https://nosec.org/home/detail/4432.html

Tomcat 爆出高危漏洞
https://segmentfault.com/a/1190000022268969

8000餘未受保護的Redis 伺服器可遭任意訪問
https://blog.trendmicro.com/trendlabs-security-intelligence/more-than-8000-unsecured-redis-instances-found-in-the-cloud/

資安事件新聞週報 2020/3/30 ~ 2020/4/3






資安事件新聞週報 2020/3/30 ~ 2020/4/3

1.重大弱點漏洞/後門/Exploit/Zero Day
Palo Alto PAN-OS 多個漏洞
https://security.paloaltonetworks.com/CVE-2020-1980
https://security.paloaltonetworks.com/CVE-2020-1981

Red Hat JBoss Enterprise Application Platform 多個漏洞
https://access.redhat.com/errata/RHSA-2020:0961
https://access.redhat.com/errata/RHSA-2020:0962

JVN#79543573 Microsoft Teams のインストーラにおける DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN79543573/

WordPress的SEO外掛Rank Math含有權限擴張漏洞
https://www.ithome.com.tw/news/136733

DrayTek設備漏洞曝光,允許駭客對企業進行攻擊
https://zhuanlan.zhihu.com/p/122377338

Sunnet 教育訓練管理系統 - 跨站腳本攻擊(XSS)
https://www.twcert.org.tw/tw/cp-132-3449-c87d8-1.html

Sunnet 教育訓練管理系統 - 系統資訊未恰當保護
https://www.twcert.org.tw/tw/cp-132-3448-76a35-1.html

Sunnet 教育訓練管理系統 - Broken Access Control
https://www.twcert.org.tw/tw/cp-132-3450-69466-1.html

Unisoon優立迅 UltraLog Express - SQL Injection
https://www.twcert.org.tw/tw/cp-132-3451-7d9f0-1.html

Unisoon優立迅 UltraLog Express - Broken Authentication
https://www.twcert.org.tw/tw/cp-132-3452-937d6-1.html

Unisoon優立迅 UltraLog Express - Sensitive Data Exposure
https://www.twcert.org.tw/tw/cp-132-3453-442a5-1.html

又有臺廠DVR設備被揭露資安漏洞,過去半年遭多個攻擊組織鎖定用以傳播殭屍網路
https://www.ithome.com.tw/news/136667

開源路由器韌體 OpenWrt 修正遠端執行漏洞
https://www.twcert.org.tw/tw/cp-104-3464-98236-1.html

2020年 4 月份資安、社群活動分享






2020年 4 月份資安、社群活動分享

QGIS地理資訊研習班 4/8 ~ 4/9
https://www.accupass.com/event/2002120936323517290110

邊緣計算系統之大數據與深度學習應用 4/10
https://edu.nchc.org.tw/course/one_course_introduction.asp?lms_auto_course_id=3883&from_course_list_url=course_index

ISO/IEC 27001:2013 資訊安全稽核師(主導稽核員)訓練課程 4/11 ~ 4/26
https://www.accupass.com/event/2002140726181428485387

第二屆ICANN APAC-TWNIC Engagement Forum 與第34屆TWNIC IP政策資源管理會議 4/16
https://forum.twnic.tw/2020/registration.htm

交通大學駭客書院 -入侵行為發覺與應變指南 4/18
https://hackercollege.nctu.edu.tw/?p=1144

資安事件新聞週報 2020/3/23 ~ 2020/3/27






資安事件新聞週報 2020/3/23 ~ 2020/3/27

1.重大弱點漏洞/後門/Exploit/Zero Day
PHP 安全漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7066

Dr.ID門禁考勤系統,門禁Ver 3.3.2版本 資安訊息說明
http://www.secom.com.tw/news/news_detail.aspx?sn=2020030001&cid=2013060066

HPE Warns of New Bug That Kills SSD Drives After 40,000 Hours
https://www.bleepingcomputer.com/news/security/hpe-warns-of-new-bug-that-kills-ssd-drives-after-40-000-hours/

Cisco Addressed Multiple High-Risk Vulnerabilities In SD-WAN Solution
https://latesthackingnews.com/2020/03/22/cisco-addressed-multiple-high-risk-vulnerabilities-in-sd-wan-solution/

Trend Micro Patched Zero-Day Vulnerabilities Under Active Exploit
https://latesthackingnews.com/2020/03/22/trend-micro-patched-zero-day-vulnerabilities-under-active-exploit/

Critical RCE Bug Affects Millions of OpenWrt-based Network Devices
https://thehackernews.com/2020/03/openwrt-rce-vulnerability.html

資安事件新聞週報 2020/3/16 ~ 2020/3/20





資安事件新聞週報 2020/3/16 ~ 2020/3/20

1.重大弱點漏洞/後門/Exploit/Zero Day
協作通訊平台 Slack 被發現重大漏洞,可能導致大量帳號遭盜
https://www.twcert.org.tw/tw/cp-104-3439-869ef-1.html

Joomla! 多個漏洞
https://www.auscert.org.au/bulletins/ESB-2020.0900/

多家路由器潛藏Kr00k漏洞
https://www.ptt.cc/bbs/PC_Shopping/M.1584079855.A.12C.html

Fortinet FortiClient安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9287

McAfee Web Gateway漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3635

VMware 發布多個產品安全更新
https://www.vmware.com/security/advisories/VMSA-2020-0004.html

VMware修復了Workstation和Fusion中的嚴重漏洞
https://nosec.org/home/detail/4325.html

Oracle Fusion Middleware Reports Developer漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2534

Aruba Networks ClearPass Policy Manager存在未明漏洞
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2016-010.txt

資安事件新聞週報 2020/3/9 ~ 2020/3/13

資安事件新聞週報 2020/3/9 ~ 2020/3/13

1.重大弱點漏洞/後門/Exploit/Zero Day
中華資安國際金融安全評估團隊發現國內知名跨平台數位簽章軟體具有不安全的API
https://www.chtsecurity.com/news/136c325b-14de-42da-9050-843dfed42c94

中華資安國際鑑識實驗室發現國內知名數位監控設備弱點
https://www.chtsecurity.com/news/3639232a-0453-43c5-8651-dc593aa41fef

防毒軟體Avast又攤上麻煩158元一年的高級功能爆出安全漏洞
https://www.cnbeta.com/articles/tech/953767.htm

Avast出現設計漏洞可能讓駭客遠端執行惡意程式
https://tag.analysis.tw/news/ithome/21678/

Avast disables the JavaScript engine component due to a severe issue
https://securityaffairs.co/wordpress/99410/hacking/avast-javascript-engine-bug.html

Fortinet FortiManager 安全漏洞
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16158

Google Chrome 2月才加入的密碼及cookie加密技術,已經被竊密軟體突破
https://ithome.com.tw/news/136282

Oracle Coherence&WebLogic反序列化遠程代碼執行漏洞風險通告(CVE-2020-2555)
https://s.tencent.com/research/bsafe/906.html

Critical PPP Daemon Flaw Opens Most Linux Systems to Remote Hackers
https://thehackernews.com/2020/03/ppp-daemon-vulnerability.html

Nitro Software Nitro Pro 安全漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10222

研究人員發現2011年到2019年的AMD處理器皆存在旁路攻擊漏洞
https://www.ithome.com.tw/news/136231

AMD官方回應Take A Way漏洞:相信這些並非新型攻擊
http://bit.ly/2IJdZY0

9 Years of AMD Processors Vulnerable to 2 New Side-Channel Attacks
https://thehackernews.com/2020/03/amd-processors-vulnerability.html

推土機、Zen架構被曝全都有安全漏洞!AMD官方回應
https://kknews.cc/digital/m98g852.html

近年出品之 Intel 處理器,內含難以修復的資安漏洞
https://www.twcert.org.tw/tw/cp-104-3424-92e17-1.html

資安事件新聞週報 2020/3/2 ~ 2020/3/6


資安事件新聞週報 2020/3/2 ~ 2020/3/6

1.重大弱點漏洞/後門/Exploit/Zero Day
Android爆嚴重保安漏洞!聯發科晶片出事!即看中招型號及解決法
http://bit.ly/38nKpkU

聯發科晶片漏洞CVE-2020-0069允許駭客取得裝置根權限,影響數百萬Android裝置
https://www.ithome.com.tw/news/136151

Netgear 部份路由器產品新發現多個嚴重資安漏洞
https://www.twcert.org.tw/tw/cp-104-3406-75dff-1.html

Ghostcat 漏洞曝光,Apache Tomcat 服務器受影響
https://www.chainnews.com/zh-hant/articles/623287993990.htm

GhostCat: New High-Risk Vulnerability Affects Servers Running Apache Tomcat
https://thehackernews.com/2020/02/ghostcat-new-high-risk-vulnerability.html

Ghostcat is a high-risk file read / include vulnerability in Tomcat 【 CVE-2020-1938 】
https://www.chaitin.cn/en/ghostcat

CVE-2020-1938-Tomact-file_include-file_read
https://github.com/sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read

3月份資安社群及教育訓練活動分享


3月份資安社群及教育訓練活動分享

Coffee & Code 3/1
https://www.meetup.com/Innovate-Taiwan/events/268999350/

WizardAmigos CodeCamp [Taipei,JavaScript,­English] 3/2
https://www.meetup.com/WizardAmigos/events/vdttmrybcfbdb/

邊緣運算介紹與應用 & Let's AIY ( 人工智慧小聚 - Hsinchu#20200304 ) 3/4
https://www.meetup.com/AIA-Hsinchu/events/267713123/

Android Code Club(Taipei) 3/4
https://www.meetup.com/Taiwan-Android-Developer-Study-Group/events/bkzcmrybcfbgb/

#28 Azure Machine Learning - 圖形化介面的免費 Studio 與付費的 Designer 之差異 3/4
https://www.meetup.com/Azure-Taiwan/events/268794485/

台北以太坊社群月聚 Monthly Taipei Ethereum Meetup 3/5
https://www.meetup.com/Taipei-Ethereum-Meetup/events/269000957/

「智慧機械與資安解決方案」技術交流媒合會 3/5
https://forms.gle/ZRksvpLu1hDHUm538

資安事件新聞週報 2020/2/24 ~ 2020/2/28






資安事件新聞週報 2020/2/24 ~ 2020/2/28

1.重大弱點漏洞/後門/Exploit/Zero Day
研究:7家BLE系統單晶片的SDK含有眾多安全漏洞
https://www.ithome.com.tw/news/135969

IBM QRadar Advisor With Watson 加密問題漏洞
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-4557

Zyxel修復了NAS設備中的嚴重漏洞
https://nosec.org/home/detail/4159.html

JVNVU#97748968 複数の ZyXEL 製品に含まれる weblogin.cgi にコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU97748968/

多項合勤防火牆、NAS產品爆指令注入漏洞可執行任意程式碼
https://www.ithome.com.tw/news/136038

Flaw in billions of Wi-Fi devices left communications open to eavesdropping
https://arstechnica.com/information-technology/2020/02/flaw-in-billions-of-wi-fi-devices-left-communications-open-to-eavesdroppng/

JVNVU#94679920 Apache Tomcat の複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94679920/

思科產品多個漏洞
https://tools.cisco.com/security/center/publicationListing.x

Cisco drops security fixes for Smart Software Manager, security appliances
https://www.helpnetsecurity.com/2020/02/21/cisco-security-fixes/

Cisco多款產品存在高危漏洞,均已修復
https://www.freebuf.com/column/228574.html

2020年 12 月份資安、社群活動分享

  2020年 12 月份資安、社群活動分享 物聯網資安標章成果發表會 2020/12/01 https://www.taics.org.tw/RecentACTForm.aspx?ACTCat_id=1&ACT_id=11148 從Python到TensorFlow線上...