調查:Equifax資料外洩起自早被修補的Apache Struts漏洞,20萬筆卡號外流

Equifax透過外部資安公司的協助,發現駭客是透過Apache Struts的漏洞竊取資料,而早在3月Apache基金會就已修補,顯示這原本是可以避免的。

2017-09-15

藍牙漏洞恐讓上億手機門戶大開,不用配對或設定就能駭入裝置

研究人員指出只要使用者裝置開啟了藍牙通訊功能,攻擊者只要取得藍牙裝置的MAC位置,不需與裝置配對或設定,就能在使用者不察下入侵該裝置,儘管微軟、蘋果、Google已修補漏洞,但仍有上億裝置曝露於風險中。

2017-09-13

D-Link一款無線路由器遭爆有10個漏洞

研究人員發現D-Link 850L AC1200雙頻Gigabit路由器韌體分為A、B兩個版本,存在多個漏洞,可讓駭客藉此攻擊LAN、WAN或MyDlink Cloud服務協定。

2017-09-12

研究人員找到瀏覽器漏洞,但微軟拒絕修補Microsoft Edge

Talos研究人員發現在瀏覽器防範XSS攻擊所使用的CSP內容安全政策中有漏洞,駭客可依據不同瀏覽器客製化攻擊程式繞過CSP使攻擊成功的機會大增,竊取使用者的重要資料,Google與蘋果已修復漏洞,微軟則以不認同為由拒絕修補。

2017-09-08

Google一舉修補Android的16個遠端程式攻擊漏洞

Google在9月的Android安全更新中修補81項漏洞,其中包括16項遠端程式執行的重大漏洞,Google已將此次安全更新納入Android 8.0,另方面,Nokia 5比Nexus及Pixel早一步收到安全更新。

2017-09-07

研究:Siri、Alexa與Cortana有設計漏洞,可以人耳聽不見的超高頻率遙控

一項研究指出Siri、Cortana、Alexa等語音助理存在設計上的漏洞,可讓駭客將語音命令轉為人耳聽不到的超高頻率,在使用者不察的情形下對語音助理下達命令,命令撥出電話、造訪惡網站等等。

2017-09-07

快更新! Apache Struts含有遠端程式攻擊漏洞

研究人員發現Apache Struts在反序列化不可靠資料上存在漏洞,只要是以Struts與REST通訊外掛打造的應用程式,駭客可自遠端執行任何程式,影響所及包括自2008年以來的所有Struts版本,以及採用該框架知名REST外掛程式的網路應用程式。

2017-09-06

GitLab爆連線劫持漏洞,已準備修補

研究人員發現使用GitLab時個人所使用的令牌竟出現在網址列,只要複製該令牌就能在不同的機器或瀏覽器上存取該帳號,且個人令牌屬於永久性質,增加了被竊後身份被盜用的風險。

2017-09-04

Arris數據機被爆含有多個漏洞,影響22萬台裝置

Nomotion主要調查的是美國AT&T旗下U-verse服務所出售或租賃的Arris數據機,AT&T擁有客製這些數據機韌體的權限,但有些漏洞同時出現在Arris數據機的標準版韌體或客製化韌體中。

2017-09-01

近50萬心律調節器有漏洞,亞培釋出安全更新

亞培旗下的美國老牌醫療器材業者St. Jude Medical所銷售的數款植入型心律調節器及心臟再同步療法節律器被發現有漏洞,讓鄰近駭客可透過無線電波進行攻擊,影響裝置的特定功能,目前亞培已釋出更新。

2017-08-31

瀏覽器擴充漏洞可能導致資料外洩或用戶曝光,Firefox、Chrome與Safari都受影響

研究人員利用特定的列舉攻擊手法,繞過主要瀏覽器的防護機制,取得使用者的擴充程式資訊,可能使得Tor、VPN用戶身份曝光。

2017-08-29

汽車的CAN協定遭爆安全漏洞,可讓駭客關閉安全氣囊或感應器

趨勢科技指出汽車所使用的控制區域網路CAN存在漏洞,可讓駭客竄改或關閉透過CAN控制的基本功能,例如關閉停車感應器、安全氣囊或是主動安全系統,進而影響駕駛、乘客的安全。

2017-08-18