May 2022

[主旨說明:]【漏洞預警】Firefox修補惡意JavaScript執行的重大漏洞（CVE-2022-1802 、CVE-2022-1529） [內容說明:]轉發 科學園區資安資訊分享與分析中心 SPISAC-ANA-202205-0011 Mozilla上周釋出安全更新公告，以修補桌機、手機版瀏覽器及郵件軟體Thunderbird中2個可執行惡意JavaScript重大風險漏洞。 兩個漏洞中，CVE-2022-1802為Top-Level Await實作中的原型鏈污染（prototype pollution）漏洞。如果攻擊者可透過原型鏈污染破壞JavaScript中Array物件的方法（methods），就能取得權限執行程式碼。CVE-2022-1529則允許攻擊者傳送方法訊息到主行程查詢JavaScript物件索引，導到原型鏈污染，結果是攻擊者控制的JavaScript可以在具權限的主行程中執行。 [影響平台:]● Firefox 100.0.2以前版本● irefox ESR 91.9.1以前版本● Firefox for Android 100.3以前版本● Thunderbird 91.9.1以前版本 [建議措施:]請更新至以下版本：● Firefox 100.0.2版 ● Firefox ESR 91.9.1版● Firefox for Android 100.3版● Thunderbird 91.9.1版 [參考資料:]1. https://www.ithome.com.tw/news/1510862. [繼續閱讀]

[主旨說明:]【漏洞預警】威聯通科技(QNAP)偵測到有不法分子濫用日前已修補的安全性問題 (qsa-21-57) 發動網路攻擊 [內容說明:]轉發 台灣電腦網路危機處理暨協調中心(TWCERT/CC)  威聯通®科技 (QNAP® Systems, Inc.) 近日偵測到 DEADBOLT Ransomware 發動新的攻擊。依據 QNAP 產品資安事件應變團隊 (QNAP PSIRT) 的調查顯示：此次攻擊鎖定使用 QTS 4.3.6 與 QTS 4.4.1 的 NAS 設備，受影響機型以 TS-x51 系列及 TS-x53 系列為主。QNAP 呼籲所有 NAS 用戶儘速檢查並更新 QTS 至最新版本，並避免將 [繼續閱讀]

[主旨說明:]【漏洞預警】Google 修復一個已遭大規模用於攻擊的 Android 核心漏洞(CVE-2021-22600) [內容說明:]轉發 科學園區資安資訊分享與分析中心 SPISAC-ANA-202205-0006 Google 近日宣布修復一個存於 Android 系統內 Linux 核心的權限提升漏洞 CVE-2021-22600。目前得知該漏洞已遭駭侵者大規模用於攻擊，用戶請立即注意裝置可否更新。 Google 對於 CVE-2021-22600 這個漏洞的修補程式，是包括在 2022 年 5 月 5 日推出的 Android 第二波修補包內，而非在 5 月 1 日推出的 Android 第一波修補包之內。 據資安專家指出，目前已有情報指出該漏洞可能已遭駭侵者大規模用於攻擊活動，然而尚不清楚是哪些攻擊活動使用了這個漏洞，也缺少具體的攻擊行動損害報告；不過美國資安主管機關網路安全暨基礎設施安全局（Cybersecurity and Infrastructure [繼續閱讀]