【iThome新聞】【資安週報】2024年4月15日到4月19日

Monday April 22nd, 2024

來源 iThome新聞 內容 在這一週的漏洞消息中,有Oracle發布今年第2季例行更新要注意,還有一個受到更多IT界關注的漏洞修補,是老牌終端機及傳檔工具Putty的開發團隊發布vuln-p521-bias漏洞通告,指出攻擊者可透過CVE-2024-31497漏洞,獲取NIST P521曲線演算法的ECDSA私鑰,因此,用戶除了更新軟體,也要立即撤銷並替換新的私鑰。所幸的是,這次漏洞僅有使用521位元的ECDSA私鑰的用戶受影響。 在漏洞利用方面,有一則已知漏洞新傳出遭利用的消息,3月時中繼資料管理工具OpenMetadata維護團隊修補了5個漏洞,近期有研究人員發現,有攻擊者利用這些漏洞攻擊企業K8s環境,並部署挖礦軟體。

【iThome新聞】Firebase開源替代方案Supabase添加S3協定支援,提升工具相容性

Monday April 22nd, 2024

來源 iThome新聞 內容 Firebase開源替代方案Supabase擴大其支援的傳輸協定,除了原本的標準上傳、可續傳上傳(Resumable Upload),現在新增S3協定支援,透過提供受廣泛使用的S3協定,Supabase將能夠相容於更多的工具。此外,原本可續傳上傳功能也脫離測試進入正式版。 Supabase團隊認為「S3 API無疑是一種儲存標準」藉由支援該標準可使Supabase工作負載更可移植。對S3的支援,也向後相容至其他Supabase的API,包括原本使用REST和TUS API的開發者,也可以利用任意S3客戶端操作儲存系統和檔案。

【iThome新聞】電腦周邊產品大廠群光電子傳出遭駭,勒索軟體駭客Hunters International聲稱竊得1.2 TB資料

Monday April 22nd, 2024

來源 iThome新聞 內容 4月15日勒索軟體駭客組織Hunters International聲稱攻擊臺灣電腦周邊產品大廠群光電子(Chicony Electronics),竊得1.2 TB內部資料,檔案數量有4,140,652個。由於不久之前才傳出日本光學設備製造商Hoya遭遇該組織攻擊,這起事故也引起國內媒體關注。

【iThome新聞】竊資軟體RedLine藉由遊戲作弊軟體為誘餌,引誘玩家上當

Monday April 22nd, 2024

來源 iThome新聞 內容 竊資軟體RedLine被用於攻擊行動的情況不時傳出,有研究人員發現,攻擊者調整手法,使得該惡意程式行蹤更難捉摸。 資安業者McAfee揭露竊資軟體RedLine最新一波的攻擊行動,對方假借提供名為Cheat Lab的遊戲作弊程式,來散布上述竊資軟體,一旦玩家依照指示下載、安裝,電腦就會被感染,攻擊者得以收集用戶資料。

快更新!Palo Alto Networks CVE-2024-3400已被利用

Monday April 22nd, 2024

來源 台灣電腦網路危機處理暨協調中心 內容 Palo Ato Networks發出告警,該公司PAN-OS防火牆存在命令注入漏洞(Command Injection),使未經身份驗證的攻擊者能夠在防火牆以root權限執行任意程式碼,並已經在被大量利用攻擊中,建議使用者儘速採取緩解措施或進行更新作業。   Palo Ato Networks表示漏洞存在於設置GlobalProtect gateway或 GlobalProtect portal(或兩者)功能的PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1防火牆,受影響版本如下: PAN-OS < 10.2.9-h1 PAN-OS

【iThome新聞】美國延長蒐集外國人情資的FISA 702條款至2026年

Monday April 22nd, 2024

來源 iThome新聞 內容 允許美國政府監視外國人的《外國情報監視法案》(Foreign Intelligence Surveillance Act,FISA)當中的702條款於上周五(4/19)到期,但美國參議院及美國總統拜登(Joe Biden)隔天(4/20)便緊急重新授權702條款的權力,將它延長至2026年。

【iThome新聞】【iThome 2024資安大調查系列1】高科技製造業未來一年資安態勢大剖析

Monday April 22nd, 2024

來源 iThome新聞 內容 上雲浪潮,帶來了高科技製造業新的資安風險,雲端服務(網路服務)資安事件從去年的第四象限(低風險低衝擊),一舉進入了第一象限(高風險高衝擊),甚至超過1成高科技製造業者資安主管開始認為,未來一年,自家企業極可能發生雲端服務的資安事件。 高科技製造業的首頁資安風險和一般製造業一樣,都是勒索軟體資安事件的威脅,,高達57%高科技業者認為,一但發生,就會產生重大衝擊。隨著2022年開始,勒索軟體即服務(RaaS,Ransomware as a Service)的模式出現後,勒索軟體攻擊事件暴增,更多犯罪組織採取這類攻擊,不只大型企業,2023年更瞄準中型企業發動攻擊。

1 8 9 10 11 12 22