2022

[主旨說明:]【漏洞預警】Firefox修補惡意JavaScript執行的重大漏洞（CVE-2022-1802 、CVE-2022-1529） [內容說明:]轉發 科學園區資安資訊分享與分析中心 SPISAC-ANA-202205-0011 Mozilla上周釋出安全更新公告，以修補桌機、手機版瀏覽器及郵件軟體Thunderbird中2個可執行惡意JavaScript重大風險漏洞。 兩個漏洞中，CVE-2022-1802為Top-Level Await實作中的原型鏈污染（prototype pollution）漏洞。如果攻擊者可透過原型鏈污染破壞JavaScript中Array物件的方法（methods），就能取得權限執行程式碼。CVE-2022-1529則允許攻擊者傳送方法訊息到主行程查詢JavaScript物件索引，導到原型鏈污染，結果是攻擊者控制的JavaScript可以在具權限的主行程中執行。 [影響平台:]● Firefox 100.0.2以前版本● irefox ESR 91.9.1以前版本● Firefox for Android 100.3以前版本● Thunderbird 91.9.1以前版本 [建議措施:]請更新至以下版本：● Firefox 100.0.2版 ● Firefox ESR 91.9.1版● Firefox for Android 100.3版● Thunderbird 91.9.1版 [參考資料:]1. https://www.ithome.com.tw/news/1510862. [繼續閱讀]

[主旨說明:]【漏洞預警】威聯通科技(QNAP)偵測到有不法分子濫用日前已修補的安全性問題 (qsa-21-57) 發動網路攻擊 [內容說明:]轉發 台灣電腦網路危機處理暨協調中心(TWCERT/CC)  威聯通®科技 (QNAP® Systems, Inc.) 近日偵測到 DEADBOLT Ransomware 發動新的攻擊。依據 QNAP 產品資安事件應變團隊 (QNAP PSIRT) 的調查顯示：此次攻擊鎖定使用 QTS 4.3.6 與 QTS 4.4.1 的 NAS 設備，受影響機型以 TS-x51 系列及 TS-x53 系列為主。QNAP 呼籲所有 NAS 用戶儘速檢查並更新 QTS 至最新版本，並避免將 [繼續閱讀]

[主旨說明:]【漏洞預警】Google 修復一個已遭大規模用於攻擊的 Android 核心漏洞(CVE-2021-22600) [內容說明:]轉發 科學園區資安資訊分享與分析中心 SPISAC-ANA-202205-0006 Google 近日宣布修復一個存於 Android 系統內 Linux 核心的權限提升漏洞 CVE-2021-22600。目前得知該漏洞已遭駭侵者大規模用於攻擊，用戶請立即注意裝置可否更新。 Google 對於 CVE-2021-22600 這個漏洞的修補程式，是包括在 2022 年 5 月 5 日推出的 Android 第二波修補包內，而非在 5 月 1 日推出的 Android 第一波修補包之內。 據資安專家指出，目前已有情報指出該漏洞可能已遭駭侵者大規模用於攻擊活動，然而尚不清楚是哪些攻擊活動使用了這個漏洞，也缺少具體的攻擊行動損害報告；不過美國資安主管機關網路安全暨基礎設施安全局（Cybersecurity and Infrastructure [繼續閱讀]

知名開放原始碼壓縮 / 解壓縮軟體 7-Zip 被漏洞研究員 Kağan Çapar 發現存在權限提升與命令執行漏洞，該漏洞影響目前 21.07 及之前的版本。 7-Zip 表示漏洞是由 Windows 上的 hh.exe (用於開啟 chm 檔) 引起的，但據 Kağan Çapar 觀察，漏洞是因為 7zFM.exe 的 heap overflow 問題加上 hh.exe 的命令執行造成，他也提供兩個暫時解決方案，一個是刪除 7-zip.chm，另一個是讓所有使用者的 7-Zip 程式只有讀取跟執行的權限。

[主旨說明:]Google Chrome、Microsoft Edge、Brave、Vivaldi及Opera瀏覽器存在高風險安全漏洞(CVE-2022-1096)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行更新[內容說明:]轉發 國家資安資訊分享與分析中心 NISAC-ANA-202203-1099 研究人員發現Google Chrome、Microsoft Edge、Brave、Vivaldi及Opera等以Chromium為基礎之瀏覽器，皆存在Chrome V8 JavaScript引擎之類型混淆(Type Confusion)漏洞(CVE-2022-1096)，攻擊者可利用此漏洞造成瀏覽器當機或緩衝區溢位，進而遠端執行任意程式碼。 [影響平台:]● Google Chrome 99.0.4844.84(不含)以前版本 ● Microsoft Edge 99.0.1150.55(不含)以前版本 ● Brave 1.36.122(不含)以前版本 ● Vivaldi 5.1.2567.73 (不含)以前版本 ● Opera 85.0.4341.28(不含)以前版本 [建議措施:]一、請更新Google Chrome瀏覽器至99.0.4844.84以後版本，更新方式如下： 1.開啟瀏覽器，於網址列輸入chrome://settings/help，瀏覽器將執行版本檢查與自動更新 2.點擊「重新啟動」完成更新 二、請更新Microsoft Edge瀏覽器至99.0.1150.55以後版本，更新方式如下： 1.開啟瀏覽器，於網址列輸入edge://settings/help，瀏覽器將執行版本檢查與自動更新 2.點擊「重新啟動」完成更新 三、請更新Brave瀏覽器至1.36.122以後版本，更新方式如下： 1.開啟瀏覽器，於網址列輸入brave://settings/help，瀏覽器將執行版本檢查與自動更新 [繼續閱讀]

[主旨說明:]Mozilla Firefox、Firefox ESR、Firefox for Android、Focus及Thunderbird等產品存在安全漏洞(CVE-2022-26485與CVE-2022-26486)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行更新[內容說明:]轉發 國家資安資訊分享與分析中心 NISAC-ANA-202203-0389 研究人員發現Mozilla Firefox、Firefox ESR、Firefox for Android、Focus及Thunderbird等產品存在安全漏洞(CVE-2022-26485與CVE-2022-26486)，肇因於參數處理過程中移除XSLT參數，造成使用釋放後記憶體(Use-after-free)漏洞，或因參數檢查不足，導致WebGPU IPC框架存在沙箱逃逸(Sandbox escape)漏洞，結合上述兩個漏洞，將允許攻擊者遠端執行任意程式碼，且Mozilla表示已發現有攻擊程式利用漏洞發動攻擊。 [影響平台:]● Firefox 97.0.2以前版本 ● Firefox ESR 91.6.1以前版本 ● Firefox for Android 97.3以前版本 ● Firefox Focus 97.3以前版本 ● Mozilla Thunderbird 91.6.2以前版本 [建議措施:]Mozilla已修補漏洞並推出新版本，請更新各受影響產品至最新版本，更新方式如下：1.Firefox與Firefox ESR版本檢查與更新方式如下：(1)開啟瀏覽器，點擊選單按鈕，點選「說明」–>「關於Firefox」，可查看當前使用之Firefox瀏覽器是否為受影響之版本，瀏覽器將執行版本檢查與更新。(2)點擊「重新啟動以更新Firefox」完成更新。 2.Firefox for Android版本檢查與更新方式如下：(1)開啟瀏覽器，點擊選單按鈕，點選「設定」–>「關於Firefox」，版本號碼將會顯示在Firefox [繼續閱讀]

[主旨說明:]Google Chrome與Microsoft Edge瀏覽器存在多個高風險安全漏洞(CVE-2022-0096~0118、0120、21929~21931、21954及21970)，允許攻擊者遠端執行任意程式碼，請儘速確認並進行更新！ [內容說明:]轉發 國家資安資訊分享與分析中心 NISAC-ANA-202201-0325 研究人員發現Google Chrome與Microsoft Edge(基於Chromium)瀏覽器存在多個安全漏洞(CVE-2022-0096~0118、0120、21929~21931、21954及21970)，攻擊者可藉由誘騙受害者瀏覽特製網頁，利用漏洞進而遠端執行任意程式碼。 [影響平台:]● Google Chrome 97.0.4692.71 (不含)以前版本 ● Microsoft Edge 97.0.1072.55 (不含)以前版本 [建議措施:]一、更新Google Chrome瀏覽器至97.0.4692.71以後版本，更新方式如下：1.開啟瀏覽器，於網址列輸入chrome://settings/help，瀏覽器將執行版本檢查與自動更新2.點擊「重新啟動」完成更新 二、請更新Microsoft Edge瀏覽器至97.0.1072.55以後版本，更新方式如下：1.開啟瀏覽器，於網址列輸入edge://settings/help，瀏覽器將執行版本檢查與自動更新2.點擊「重新啟動」完成更新 [參考資料:]1. https://chromereleases.googleblog.com/2022/01/stable-channel-update-for-desktop.html2. https://thehackernews.com/2022/01/google-releases-new-chrome-update-to.html3. https://www.cybersecurity-help.cz/vdb/SB20220104244. https://docs.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#january-6-2022