Adobe 近日在例行的每月更新修補包之外,另行推出針對 Adobe Character Animator 內含嚴重資安漏洞的修補程式。
這次修補的漏洞,編號為 CVE-2020-9586,主要的問題在於當用戶以此軟體開啟惡意檔案或含有惡意程式碼的網頁時,可能遭駭侵者用以遠端執行任意程式碼。
這個問題的根源在於 PostScript 子系統在針對 BoundBox 元素進行分析時的錯誤,會導致堆疊緩衝區發生溢位錯誤。該系統對於用戶輸入的資料長度,沒有事先進行適當的驗證流程,就直接把資料複製到堆疊緩衝區中。
資安廠商趨勢科技的資安研究員 Dustin Chiles 指出,這個錯誤可讓駭侵者在現正執行的程序內遠端執行任意程式碼。
這個漏洞的 CVSS 評分為 7.7 分,屬於「高危險」等級;不過 Adobe 指出,目前並未發現有任何駭侵行動利用這個漏洞進行;而在 Adobe 提供的更新優先等級,則被指定為「3」。
Adobe 建議所有仍在執行 Adobe Character Animator 3.2 與先前所有版本(包括 WIndows 與 Mac 版)的用戶,視情形升級至 3.3 或更新版本,以解決這個問題。
twcert 發表在 痞客邦 留言(0) 人氣(17)
資安廠商連續兩次發現,微軟針對反向 RDP 攻擊所發行的資安修補包,都可以用簡單的方法加以跳過,並未真正從根本解決問題所在。
twcert 發表在 痞客邦 留言(0) 人氣(71)
英國廉價航空公司易捷航空( EasyJet) 發生駭侵事件,有超過九百萬名顧客的個資恐遭駭客竊取。
twcert 發表在 痞客邦 留言(0) 人氣(15)
資安廠商指出,觀測到某駭侵團體以寄生於 USB 儲存裝置的惡意軟體,竊取與公眾網路相互隔離的軍隊內網資料。資安廠商趨勢科技,日前發表研究報告指出,該公司觀測到某駭侵團體,以寄生於 USB 儲存裝置的惡意軟體,竊取與公眾網路相互隔離的軍隊內網資料,且受害時間可能長達六年之久。
在這份報告中提及的惡意軟體,名為 USBFerry,感染系統後,不但會試圖自我複製到其他日後插到系統上的 USB 儲存裝置,例如 USB 隨身碟或 USB 外接硬碟,還會竊取 USB 儲存裝置中的檔案和資料,並在下次該裝置插上具備 Internet 連線的電腦時,將竊得的資料傳送出去。
透過這種方式,駭侵者即可入侵未連接公眾 Internet 的重要機關內網,並竊得所需的機密檔案與資料。
趨勢公司指出,該公司自 2018 年起開始追蹤 USBFerry 的活動,發現該惡意軟體自 2014 年起就十分活躍,攻擊時間長達六年之久。
該公司也說,發動這類攻擊的駭侵組織「Tropic Tropper」也知道這些重要機關的內網有多重防護措施:除了與外網隔開外,還有例如生物特徵辨識、加密傳輸等,所以該組織會先攻擊這些單位的外圍組織,因為這些外圍組織的防護通常比較鬆散,再伺機攻入主要目標。
趨勢科技說,他們觀察到的攻擊成功案例,就是先駭入軍方所屬醫院的系統,接著再駭入軍隊的隔離內網。
twcert 發表在 痞客邦 留言(0) 人氣(42)
在一份針對 Android 平台上的「偷窺軟體」研究報表發表後,Google 随即自 Play Store 中下架多達 813 個偷窺軟體。
在一份由 NortonLifeLock Research Group、康乃爾科技大學與紐約大學合組的研究團對,針對 Android 平台上的「偷窺軟體」研究報表發表後,Google 随即自 Play Store 中下架多達 813 個偷窺軟體。
這份研究報告名為「偷窺軟體(Creepware)進行人與人之間攻擊的各種樣態」(The Many Kinds of Creepware Used for Interpersonal Attacks),論文所指的「偷窺軟體」(Creepware),其定義是不像間諜軟體(Spyware)或跟蹤軟體(Stalkerware)那樣擁有完整惡意功能,但仍可對用戶進行跟蹤、騷擾、詐騙、威脅等惡意行為的軟體。
在論文中,研究者先提出一套稱為「偷窺指數」(CreepRank)的計量演算法,以這套演算法來評估各個偷窺軟體的行為與其損害程度,然後為每支偷窺軟體計分。被列入計分標準的惡意行為,包括竊取手機的簡訊或即時傳訊軟體對話內容、假冒其他用戶身分、發動 DDoS 攻擊、隱匿其他 App、控制其他 App、監控手機所在地座標資等。
接著研究團隊以此指標,從超過五千萬支 Android 手機的匿名使用資料中進行分析,最後找出多達 857 支 Android App,其偷窺指數高到可以算是偷窺軟體;其中有 114 支 App 會進行假冒詐騙、80 支 App 會騷擾使用者, 63 支 App 會進行其它駭侵攻擊。
研究團隊也指出,全球有超過一百萬支以上 Android 手機,都安裝過這些偷窺軟體。
去年夏季,研究團隊將這份偷窺軟體名單交給 Google,Google 隨即認可 CreepRank 的有效性,而且自 Play Store 中下架了 813 個名單上的偷窺軟體。
twcert 發表在 痞客邦 留言(0) 人氣(44)
資安研究團隊發現,提供給 Linux 基金會,用以加強 Linux 核心資安防護能力的HKSP程式碼,竟然藏有後門,可能導致未來新版 Linux 出現資安風險。
資安研究團隊 Grsecurity 發現,由華為提供給 Linux 基金會,用以加強 Linux 核心資安防護能力,一段名為「HKSP」(Huawei Kernel Self Protection)的程式碼,竟然藏有後門,可能導致未來新版 Linux 都出現資安風險。
Grsecurity 在其研究報告中指出,他們在華為提報給 Linux 基金會的 HKSP 安全修補加強程式碼中發現一個微妙的資安漏洞,不但看不出是針對哪個類型資安威脅提出修補建議,也不包括相關的防禦程式碼。
Grsecurity 進一步指出,檢視華為提出的程式碼後,他們還發現一個可利用來進行駭侵攻擊的資安漏洞,這等同於在程式碼內刻意放入的後門;如果 Linux 基金會接受該修補程式,將這段程式碼放入未來版本的 Linux 核心,將造成相當嚴重的資安風險。
Grsecurity 的研究報告,詳細分析了華為程式碼中的弱點,以及可能造成的資安風險。
在 Grsecurity 發表此報告後,華為立刻回應,表示該段程式碼僅為示範之用、提報至 Linux 基金會的舉動,也只是某個華為資安工程師的「個人行為」,不代表華為公司;華為公司也未將這段程式碼使用於任何華為產品。
但 Grsecurity 也隨即於其報告中新增華為回應,並且指出交付該程式碼的工程師,在華為公司中屬於技術職中職級最高(20 職等)的資安工程師;而且程式碼中帶有華為公司的品牌名稱,很難接受華為這種卸責的說法。
twcert 發表在 痞客邦 留言(0) 人氣(41)
微軟推出 2020 年 5 月資安修補包,共有 111 個資安漏洞得到修復。用戶請盡速更新。
twcert 發表在 痞客邦 留言(0) 人氣(20)
荷蘭安荷芬科技大學(Technische Universiteit Eindhoven)的研究人員Björn Ruytenberg,日前發表研究報告指出,廣泛內建於高階主機和筆記型電腦的高速傳輸界面 ThunderboltTM 3存在嚴重的硬體安全漏洞,允許駭侵者能輕易地於數分鐘內,破解電腦安全加密並竊取使用者資料。
twcert 發表在 痞客邦 留言(0) 人氣(26)
資安媒體和廠商發現,近來有駭侵團體於暗網上連續散布竊取自 11 家公司的用戶資料,並且公開求售。
twcert 發表在 痞客邦 留言(0) 人氣(9)
資安廠商指出,有多個用戶眾多的 VPN 服務經測試後易遭駭侵者以中間人攻擊方式,攔劫用戶網路通訊內容;有些甚至會被植入假的軟體更新檔案。專門針對各種 VPN 服務進行資安檢測的資安廠商 VPNpro,近日發表研究報告指出,該公司發現有多個廣受歡迎,用戶眾多的 VPN 服務,經測試後易遭駭侵者以中間人攻擊方式攔劫用戶網路通訊內容;有些甚至會被植入假的軟體更新檔案,造成更大的損害。
VPNpro 的報告中指出,在該公司檢測的 20 個最受歡迎 VPN 連線服務中,有四個無法抵擋駭侵者攔劫用戶的通訊內容;駭侵者可以透過中間人攻擊的方式,攔劫並解密用戶的網路通訊內容。
一旦用戶的 VPN 連線遭到攔劫,除了通訊內容會遭到竊聽外,駭侵者還會鼓勵用戶連上有害的公共 Wi-Fi 網路,或是掃瞄用戶電腦附近的無線路由器,並試圖駭入。
在上述四個有資安疑慮的 VPN 服務中,\PrivateVPN 和 BetterNet VPNs 這兩個服務會遭到駭侵者偽造其名義,發送虛假的系統更新,PrivateVPN 應用程式還會自動執行假的系統更新檔。
用戶如果不慎安裝了虛假的更新檔,駭侵者就可以在受害者電腦上植入惡意軟體竊取更多資訊、遠端執行任意程式碼,或是安裝挖礦軟體或勒贖軟體。
VPNpro 在發現這些問題後,隨即通報各該 VPN 業者,被測出問題的業者均已提供資安修補更新;這些 VPN 服務的用戶,應立即以官方提供管道更新自己電腦中的應用程式。 twcert 發表在 痞客邦 留言(0) 人氣(138)
資安宣導 (2)