資安新聞及事件週報 2017/11/13 ~ 2017/11/17

1.重大弱點漏洞

最新科技新聞與報導 › 秋季創作者更新 正式發表,Windows 10 增強防衛能力與創作工具
https://www.kocpc.com.tw/archives/171574

Symantec Endpoint 產品多個漏洞
https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20171113_00

VMware vCenter Server 多個漏洞
https://securitytracker.com/id/1039759

思科產品多個漏洞
https://tools.cisco.com/security/center/publicationListing.x

英特爾管理引擎漏洞:Skylake及新平台存在USB攻擊隱患
http://news.pconline.com.cn/1028/10285484.html

研究顯示通過USB 接口觸發英特爾ME 漏洞可成功入侵目標系統
http://hackernews.cc/archives/16708

VMware AirWatch Console Module多個安全漏洞(CVE-2017-4930, CVE-2017-4931)
http://www.jishux.com/plus/view-641283-1.html

VMware vCenter Server拒絕服務漏洞(CVE-2017-4927)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4927

微軟修補藏了17年的Office漏洞
https://www.ithome.com.tw/news/118298

甲骨文緊急修補PeopleSoft、Tuxedo 重大漏洞JoltlandBleed
https://www.ithome.com.tw/news/118334

ROCA RSA漏洞可導致各種設備密鑰泄漏
https://read01.com/Q3EjL7m.html

諾基亞6安全補丁更新修復KRACK漏洞
http://mobile.zol.com.cn/665/6651491.html

Read on →

資安新聞及事件週報 2017/11/06 ~ 2017/11/10

1.重大弱點漏洞

Apache Hive 漏洞(CVE-2017-12625)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12625

IEEE P1735標準遭爆有多個漏洞,電子設計的智慧產權恐被竊
https://www.ithome.com.tw/news/118076

Tor 瀏覽器嚴重漏洞或洩露用戶真實IP 地址
http://hackernews.cc/archives/16505
http://bit.ly/2hpuFK6
https://www.ithome.com.tw/news/118060

FortiOS 跨網站指令碼攻擊漏洞 CVE-2017-7739
https://securitytracker.com/id/1039741

Juniper Junos OS 遠端執行程式碼漏洞
https://www.auscert.org.au/bulletins/54226

HP 產品- Wi-Fi WPA2 標準漏洞
https://support.hp.com/cn-zh/document/c05827756

研究人員揭露數十個Linux USB安全漏洞
https://www.ithome.com.tw/news/118144

安心了!微軟修復「糟糕透頂」安全漏洞
https://read01.com/zh-mo/Rn5eg5y.html

McAfee Network Data Loss Prevention 安全漏洞 CVE-2017-3935
https://kc.mcafee.com/corporate/index?page=content&id=SB10198

Read on →

資安新聞及事件週報 2017/10/30 ~ 2017/11/03

1.重大弱點漏洞

全球最可靠開源防火牆pfSense升級:修補Wi-Fi漏洞
https://www.xcnnews.com/kj/1623046.html

TPM晶片及WIFI WPA2加密漏洞 须更新软件
https://www.bannedbook.org/bnews/fanqiang/20171027/847963.html

Google臭蟲通報系統爆漏洞,自家產品重大漏洞可被看光
https://www.ithome.com.tw/news/117874

CENTOS釋出安全更新修補NTP及WGET之漏洞
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4796

WordPress資料隱碼漏洞可讓駭客接管你的網站,現已釋出更新
https://www.ithome.com.tw/news/117975

AmosConnect 8 船舶通訊系統出現兩大漏洞
https://blog.trendmicro.com.tw/?p=53143

多款F5產品安全漏洞
https://support.f5.com/csp/article/K74759095

Juniper Junos OS 遠端執行程式碼漏洞
https://www.auscert.org.au/bulletins/54226

NODE.JS釋出更新檔修補參數驗證漏洞
https://twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4797

Read on →

11月資安活動分享

2017 BSI STANDARDS 國際標準管理年會 11/1
https://www.twcert.org.tw/subpages/securityInfo/securityactivity_details.aspx?id=151

資安人才培育計畫 資安實務專題講座 - 網路滲透測試實務 11/1
https://goo.gl/Q6nhuv

資安人才培育計畫 資安實務專題講座 - 網路滲透測試實務 11/2
https://goo.gl/kuXGJV

2017 JavaScript 開發者年會 JSDC 2017 11/4
http://2017.jsdc.tw/agenda.html

資安人才培育計畫 資安實務專題講座 - CTF搶旗大賽的重要資安實務技術 11/6
https://goo.gl/cLNs7o

資訊安全會議和博覽會美國資訊安全大會(RSA® Conference) 11/7 ~ 11/8
https://www.rsaconference.com/events/ad17/register

Read on →

資安新聞及事件週報 2017/10/23 ~ 2017/10/27

1.重大弱點漏洞

微軟修補Outlook系列Security Feature Bypass等漏洞
https://www.twcert.org.tw/twcert/advdetail/3446

FortiOS web GUI 跨網站指令碼攻擊漏洞
http://www.fortiguard.com/psirt/FG-IR-17-113

FORTINET FORTIMAIL釋出升級版本補強CROSS-SITE SCRIPTING弱點
https://www.twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4791

研究:DUHK漏洞可能讓VPN及加密網頁通訊內容曝光
https://www.ithome.com.tw/news/117753

F-Secure KEY 多個漏洞
https://www.f-secure.com/en/web/labs_global/fsc-2017-2

F5 VIPRION 平台上部分BIG-IP網管產品發生密碼外洩漏洞
https://www.twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=4790

NSA在7年前就有WPA2漏洞利用工具疑BADDECISION是Krack早期版本
https://zhuanlan.zhihu.com/p/30403550

NETGEAR 路由器入指令碼漏洞
https://kb.netgear.com/000049529/Security-Advisory-for-Command-Injection-on-Some-Routers-PSV-2017-2949

Stratos Global所銷售的特定船用衛星通訊系統遭爆有安全漏洞
https://www.ithome.com.tw/news/117816

新版OWASP TOP 10:這三類新型安全漏洞上榜
https://www.iread.one/3555304.html

IBM WebSphere Application Server 漏洞(CVE-2017-1583)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-1583

多款Cisco產品NX-OS Software Python scripting子系統安全漏洞
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171018-ppe

WiFi Protected Access II (WPA2) 多個漏洞 (KRACK)
https://www.auscert.org.au/bulletins/53542
https://www.auscert.org.au/bulletins/53550
https://www.krackattacks.com/
https://www.kb.cert.org/vuls/id/228519
https://thehackernews.com/2017/10/wpa2-krack-wifi-hacking.html
https://securitytracker.com/id/1039585
http://www.zdnet.com/article/wpa2-security-flaw-lets-hackers-attack-almost-any-wifi-device/
https://www.kb.cert.org/vuls/

Read on →

資安新聞及事件週報 2017/10/16 ~ 2017/10/20

1.重大弱點漏洞

神漏洞!Outlook會將你的加密郵件明文再發送一遍
http://www.ifuun.com/a201710125971518/

微軟修補Outlook系列Security Feature Bypass等漏洞
http://securitytracker.com/id/1039542
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11774
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11776

斯巴魯汽車被爆車鎖系統存安全漏洞,黑客可克隆車鑰匙
http://www.gooread.com/article/20124286866/

Subaru多款車輛爆遙控鑰匙漏洞, 駭客可以複製車鑰匙
https://blog.trendmicro.com.tw/?p=52892

德國ADAC發現Keyless免鑰匙系統漏洞,可秒偷車輛,多種車款中招,附影片
http://www.twgreatdaily.com/cat93/node1677290

Mac OS X 10.12隔離機制繞過漏洞
http://bit.ly/2yDLuXQ

MacOS High Sierra 發現漏洞,任何使用者都可輕易使系統當機
https://technews.tw/2017/10/20/privilege-escalation-with-kill-1-sigkill-in-xnu-kernel-of-macos-high-sierra/

IOS漏洞利用三個表情符號取得 SANS密碼
https://news.xfastest.com/apple/42157/ios-exploit-gives-access-to-photos-sans-passcode-with-three-emojis/

iOS 11.1 Beta 3 發布,修復了一個嚴重漏洞
https://www.xcnnews.com/kj/1454484.html

【極恐怖】iOS 11.1 隱藏重大漏洞 免解鎖偷偷傳送 iPhone 照片
https://www.newmobilelife.com/2017/10/19/ios-11-1-big-flaw-can-steal-your-photos/

Read on →

資安新聞及事件週報 2017/10/9 ~ 2017/10/13

1.重大弱點漏洞

macOS 10.13 上的 磁碟工具程式 被發現漏洞,竟然會顯示純文字管理者密碼
https://www.kocpc.com.tw/archives/166899

神漏洞!Outlook會將你的加密郵件明文再發送一遍
http://www.4hou.com/info/news/7926.html

Google:Home Mini 全日24小時錄音漏洞已修復
https://unwire.hk/2017/10/12/googlehome-minibug/life-tech/

Mac電腦曝出新漏洞 而且這種攻擊難察覺
http://iview.sina.com.tw/post/13990832

OS X 10.10.3更新修復嚴重漏洞 舊版本OS X用戶仍未修復
http://www.cnbeta.com/articles/tech/384361.htm

思科SDL開發庫被爆存在嚴重遠程代碼執行漏洞
https://www.iread.one/3265289.html

緊急弱點公佈,請盡速修補
https://blog.trendmicro.com.tw/?p=52843

Apple釋出iOS 11.0.2安全更新
https://support.apple.com/zh-tw/HT208112
https://support.apple.com/zh-tw/HT201222
https://support.apple.com/zh-tw/HT204204

iOS 10.3.3 修補的 Wi-Fi 晶片漏洞被公開!越獄工具離我們越來越近
https://mrmad.com.tw/ios-10-3-3-wifi_exploit-jb

KB4041676 與 KB4041691 更新程式惹出麻煩,微軟:影響以企業端為主
https://www.kocpc.com.tw/archives/167789

蘋果OS曝重大安全漏洞:電郵會被黑客截獲
http://tech.qq.com/a/20140225/003031.htm

先別急著更新Windows 10,部份用戶出現藍色死亡畫面、無法重開機
https://www.ithome.com.tw/news/117363

Read on →

資安新聞及事件週報 2017/10/2 ~ 2017/10/6

1.重大弱點漏洞

Spring AMQP服務器遠程代碼執行漏洞CVE-2017-8045
http://blog.nsfocus.net/cve-2017-8045/

Cisco多個產品本地未授權訪問漏洞(CVE-2017-12239)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-cc

Illusion Gap 漏洞曝光:惡意文件可繞過Windows Defender 掃描
http://hackernews.cc/archives/15275

蘋果發佈 macOS High Sierra 首個修正更新 修正一個頗嚇人的密碼漏洞
https://www.newmobilelife.com/2017/10/06/macos-high-sierra-first-update/

Dnsmasq 的安全性漏洞
http://0rz.tw/h4Fpl

F5 BIG-IP systems Traffic Management Microkernel 安全漏洞 CVE-2016-9252
https://support.f5.com/csp/article/K46535047

Pandora for iOS 安全漏洞
http://www.securityfocus.com/bid/97158

修補博通(Broadcom)Wi-Fi 晶片上的安全漏洞
https://www.asus.com/zentalk/tw/thread-290122-1-1.html

Cisco IOS Software CIP拒絕服務漏洞
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-cip

Cisco IOS Software for Cisco Catalyst 6800 Series Switches拒絕服務漏洞(CVE-2017-12238)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-vpls

Read on →

10月資安活動分享

106年資安治理成熟度自評訓練 10月2日(一) ~11月1日(三)
https://www.nccst.nat.gov.tw/NewInfoDetail?lang=zh&seq=1502

Cloudera Hadoop Security VIP Day 10/3
https://athemaster.kktix.cc/events/clouderahadoop

106個資保護暨資訊安全系列免費課程 - 資訊安全與個人資料保護認知(10/05)
http://event.ithu.tw/2017090048

「資通安全防護新思維趨勢論壇」 10/6
http://www.cisanet.org.tw/News/activity_more?id=MjY3

SQL Server 2017 現場秀 SQL Server 2017 Product Launch 10/6
https://www.microsoftevents.com/profile/form/index.cfm?PKformID=0x2568706abcd&WT.mc_id=sql2017_edm

2017 紐倫堡資安展 2017年10月10日 - 2017年10月12日
https://www.it-sa.de/en

「4G應用服務系統營運資安參考指引」推廣說明會 10/11
http://www.cisanet.org.tw/News/activity_more?id=Mjcz

龍騰微笑 - 智聯網 創業競賽 10/11
http://topic.cheers.com.tw/event/2017longtermforum/

106個資保護暨資訊安全系列免費課程 - 個資蒐集作業要件及規範(10/11、10/12)
http://event.ithu.tw/2017090048

Read on →

資安新聞及事件週報 2017/9/25 ~ 2017/9/29

1.重大弱點漏洞

ImageMagick又爆遠端DoS漏洞CVE-2017-14626 7.0.7-0受影響 PoC已公開

https://ifun01.com/N24TPF7.html

Synology Photo Station CVE-2017-11161
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2017-11161

蘋果Keychain大漏洞 新版MacOS沒修正
https://newtalk.tw/news/view/2017-09-27/98964

特定考勤門禁系統存在資安漏洞,恐遭利用進行虛擬貨幣挖礦或對外攻擊(轉技服中心資訊)
https://www.twcert.org.tw/twcert/newsdetail/3112

Tcpdump CVE-2017-12893 ~ CVE-2017-13725
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2017-12893

Apache Tomcat 存在2個安全性弱點
https://www.us-cert.gov/ncas/current-activity/2017/09/19/Apache-Releases-Security-Updates-Apache-Tomcat

macOS 鑰匙圈功能爆出漏洞,最新 High Sierra 版本也在其中
https://ccc.technews.tw/2017/09/27/ex-nsa-hacker-drops-macos-high-sierra-zero-day-hours-before-launch/

蘋果 macOS/OS X 多個漏洞
https://support.apple.com/en-us/HT208144

包括High Sierra等macOS的Keychain遭爆有漏洞,臉書、app密碼可被看光光
http://www.ithome.com.tw/news/117027

Read on →