資安新聞及事件週報 2017/10/16 ~ 2017/10/20

1.重大弱點漏洞

神漏洞!Outlook會將你的加密郵件明文再發送一遍
http://www.ifuun.com/a201710125971518/

微軟修補Outlook系列Security Feature Bypass等漏洞
http://securitytracker.com/id/1039542
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11774
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11776

斯巴魯汽車被爆車鎖系統存安全漏洞,黑客可克隆車鑰匙
http://www.gooread.com/article/20124286866/

Subaru多款車輛爆遙控鑰匙漏洞, 駭客可以複製車鑰匙
https://blog.trendmicro.com.tw/?p=52892

德國ADAC發現Keyless免鑰匙系統漏洞,可秒偷車輛,多種車款中招,附影片
http://www.twgreatdaily.com/cat93/node1677290

Mac OS X 10.12隔離機制繞過漏洞
http://bit.ly/2yDLuXQ

MacOS High Sierra 發現漏洞,任何使用者都可輕易使系統當機
https://technews.tw/2017/10/20/privilege-escalation-with-kill-1-sigkill-in-xnu-kernel-of-macos-high-sierra/

IOS漏洞利用三個表情符號取得 SANS密碼
https://news.xfastest.com/apple/42157/ios-exploit-gives-access-to-photos-sans-passcode-with-three-emojis/

iOS 11.1 Beta 3 發布,修復了一個嚴重漏洞
https://www.xcnnews.com/kj/1454484.html

【極恐怖】iOS 11.1 隱藏重大漏洞 免解鎖偷偷傳送 iPhone 照片
https://www.newmobilelife.com/2017/10/19/ios-11-1-big-flaw-can-steal-your-photos/

Read on →

資安新聞及事件週報 2017/10/9 ~ 2017/10/13

1.重大弱點漏洞

macOS 10.13 上的 磁碟工具程式 被發現漏洞,竟然會顯示純文字管理者密碼
https://www.kocpc.com.tw/archives/166899

神漏洞!Outlook會將你的加密郵件明文再發送一遍
http://www.4hou.com/info/news/7926.html

Google:Home Mini 全日24小時錄音漏洞已修復
https://unwire.hk/2017/10/12/googlehome-minibug/life-tech/

Mac電腦曝出新漏洞 而且這種攻擊難察覺
http://iview.sina.com.tw/post/13990832

OS X 10.10.3更新修復嚴重漏洞 舊版本OS X用戶仍未修復
http://www.cnbeta.com/articles/tech/384361.htm

思科SDL開發庫被爆存在嚴重遠程代碼執行漏洞
https://www.iread.one/3265289.html

緊急弱點公佈,請盡速修補
https://blog.trendmicro.com.tw/?p=52843

Apple釋出iOS 11.0.2安全更新
https://support.apple.com/zh-tw/HT208112
https://support.apple.com/zh-tw/HT201222
https://support.apple.com/zh-tw/HT204204

iOS 10.3.3 修補的 Wi-Fi 晶片漏洞被公開!越獄工具離我們越來越近
https://mrmad.com.tw/ios-10-3-3-wifi_exploit-jb

KB4041676 與 KB4041691 更新程式惹出麻煩,微軟:影響以企業端為主
https://www.kocpc.com.tw/archives/167789

蘋果OS曝重大安全漏洞:電郵會被黑客截獲
http://tech.qq.com/a/20140225/003031.htm

先別急著更新Windows 10,部份用戶出現藍色死亡畫面、無法重開機
https://www.ithome.com.tw/news/117363

Read on →

資安新聞及事件週報 2017/10/2 ~ 2017/10/6

1.重大弱點漏洞

Spring AMQP服務器遠程代碼執行漏洞CVE-2017-8045
http://blog.nsfocus.net/cve-2017-8045/

Cisco多個產品本地未授權訪問漏洞(CVE-2017-12239)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-cc

Illusion Gap 漏洞曝光:惡意文件可繞過Windows Defender 掃描
http://hackernews.cc/archives/15275

蘋果發佈 macOS High Sierra 首個修正更新 修正一個頗嚇人的密碼漏洞
https://www.newmobilelife.com/2017/10/06/macos-high-sierra-first-update/

Dnsmasq 的安全性漏洞
http://0rz.tw/h4Fpl

F5 BIG-IP systems Traffic Management Microkernel 安全漏洞 CVE-2016-9252
https://support.f5.com/csp/article/K46535047

Pandora for iOS 安全漏洞
http://www.securityfocus.com/bid/97158

修補博通(Broadcom)Wi-Fi 晶片上的安全漏洞
https://www.asus.com/zentalk/tw/thread-290122-1-1.html

Cisco IOS Software CIP拒絕服務漏洞
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-cip

Cisco IOS Software for Cisco Catalyst 6800 Series Switches拒絕服務漏洞(CVE-2017-12238)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170927-vpls

Read on →

10月資安活動分享

106年資安治理成熟度自評訓練 10月2日(一) ~11月1日(三)
https://www.nccst.nat.gov.tw/NewInfoDetail?lang=zh&seq=1502

Cloudera Hadoop Security VIP Day 10/3
https://athemaster.kktix.cc/events/clouderahadoop

106個資保護暨資訊安全系列免費課程 - 資訊安全與個人資料保護認知(10/05)
http://event.ithu.tw/2017090048

「資通安全防護新思維趨勢論壇」 10/6
http://www.cisanet.org.tw/News/activity_more?id=MjY3

SQL Server 2017 現場秀 SQL Server 2017 Product Launch 10/6
https://www.microsoftevents.com/profile/form/index.cfm?PKformID=0x2568706abcd&WT.mc_id=sql2017_edm

2017 紐倫堡資安展 2017年10月10日 - 2017年10月12日
https://www.it-sa.de/en

「4G應用服務系統營運資安參考指引」推廣說明會 10/11
http://www.cisanet.org.tw/News/activity_more?id=Mjcz

龍騰微笑 - 智聯網 創業競賽 10/11
http://topic.cheers.com.tw/event/2017longtermforum/

106個資保護暨資訊安全系列免費課程 - 個資蒐集作業要件及規範(10/11、10/12)
http://event.ithu.tw/2017090048

Read on →

資安新聞及事件週報 2017/9/25 ~ 2017/9/29

1.重大弱點漏洞

ImageMagick又爆遠端DoS漏洞CVE-2017-14626 7.0.7-0受影響 PoC已公開

https://ifun01.com/N24TPF7.html

Synology Photo Station CVE-2017-11161
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2017-11161

蘋果Keychain大漏洞 新版MacOS沒修正
https://newtalk.tw/news/view/2017-09-27/98964

特定考勤門禁系統存在資安漏洞,恐遭利用進行虛擬貨幣挖礦或對外攻擊(轉技服中心資訊)
https://www.twcert.org.tw/twcert/newsdetail/3112

Tcpdump CVE-2017-12893 ~ CVE-2017-13725
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2017-12893

Apache Tomcat 存在2個安全性弱點
https://www.us-cert.gov/ncas/current-activity/2017/09/19/Apache-Releases-Security-Updates-Apache-Tomcat

macOS 鑰匙圈功能爆出漏洞,最新 High Sierra 版本也在其中
https://ccc.technews.tw/2017/09/27/ex-nsa-hacker-drops-macos-high-sierra-zero-day-hours-before-launch/

蘋果 macOS/OS X 多個漏洞
https://support.apple.com/en-us/HT208144

包括High Sierra等macOS的Keychain遭爆有漏洞,臉書、app密碼可被看光光
http://www.ithome.com.tw/news/117027

Read on →

駭客的地下城 議程公開囉!

你是不是覺得

沒買到早鳥很空虛!?

沒買到早鳥很寂寞!?

沒買到早鳥覺得冷!?

你想看"議程”的心聲我們都聽到了!

駭客的地下城 議程公開囉!

這幾日會陸續放上各議程講者與簡介!

同時也會陸續開放神秘議程喔!

*議程→ http://tdoh-conf.online/session.html

*門票→ https://tdohackerparty.kktix.cc/events/tdoh-conf-2017

資安新聞及事件週報 2017/9/18 ~ 2017/9/22

1.重大弱點漏洞
Broadcom BCM43xx 遠程代碼執行漏洞(CVE-2017-9417)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9417
http://technet.microsoft.com/security/bulletin/September

思科產品多個漏洞
https://www.us-cert.gov/ncas/current-activity/2017/09/20/Cisco-Releases-Security-Updates

QNAP NAS 遠端執行程式碼漏洞
https://www.qnap.com/en/support/con_show.php?cid=129

VMware修補允許訪客執行程式的安全漏洞
http://www.ithome.com.tw/news/116894

VMware發布安全更新
https://www.vmware.com/security/advisories/VMSA-2017-0015.html

D-Link DIR-850L AC1200雙頻Gigabit無線路由器存在多個漏洞
http://thehackernews.com/2017/09/d-link-router-hacking.html
https://pierrekim.github.io/blog/2017-09-08-dlink-850l-mydlink-cloud-0days-vulnerabilities.html
http://support.dlink.com/ProductInfo.aspx?m=DIR-850L

Netgear 路由器的遠端存取漏洞遭攻擊, 財富500 強企業恐成目標
https://blog.trendmicro.com.tw/?p=52525

Read on →

資安新聞及事件週報 2017/9/11 ~ 2017/9/15

1.重大弱點漏洞
警惕工控網路攻擊 工業路由器曝出漏洞
http://news.sina.com.tw/article/20170909/23806854.html

微軟修補已遭駭客鎖定的.NET零時差漏洞
http://www.ithome.com.tw/news/116830

QNAP NAS 遠端執行程式碼漏洞
https://www.qnap.com/en/support/con_show.php?cid=128

Windows內核存在漏洞,影響Windows2000到Windows10所有版本
http://www.freebuf.com/vuls/147114.html

Zerodium以100萬美元求Tor瀏覽器0day漏洞以轉售給政府
https://www.iread.one/2512181.html

D-Link一款無線路由器遭爆有10個漏洞
http://ithome.com.tw/news/116795

微軟內核漏洞致反病毒軟件形同虛設,所有Windows版本受影響
https://www.ddos.com/article/detail?id=479

研究人員找到瀏覽器漏洞,但微軟拒絕修補Microsoft Edge
http://ithome.com.tw/news/116751

亞培心臟節律器恐有遭駭之虞 美患者被告知韌體更新
http://0rz.tw/kt3nY

Read on →

TDOH-PIPE 資安交流活動 北區 | 201709

TDOH-PIPE 資安交流活動 北區 | 201709

關於 TDOH

TDOH 成立於 2013 年中,是當時一群對資安極具熱情的學生們所創立,期望利用社群的方式來推廣資訊安全、增加技術交流、改善台灣資安學習環境等。目前依舊耕耘著台灣資安人才培育的土壤,並且在全台各地與多所大專院校都有相關合作經驗和人手,是一個初具規模全國性校園資安社群。

TDOH 近年來已有數十場講座舉辦經歷,也協助過多個社群單位與教育單位舉辦講座、課程,並發展多個資安教育平台的專案。平常則舉辦許多小型活動熱絡資安社群間的交流,而從 2016 年開始舉辦如 TDOH - PIPE、Conf 等大型活動,致力於打造更完善的資訊安全學習環境。

TDOH - PIPE 是什麼?

TDOH - PIPE 為 TDOH 所主導之校園資安讀書會 / 社團輔導專案計畫。

PIPE 在 Linux 指令中為兩指令間的管線,有將前一指令的結果導入後一指令的意味,
而 TDOH - PIPE 將成為 TDOH 與 各校園資安讀書會 / 社團 間的管線。

有鑑於目前校園中較缺乏的資安教育的課程與管道,而校外大部分皆為短期的 workshop、講座等,學生較容易缺乏學習夥伴與管道,因此 TDOH 期望在各校輔導原有的讀書會 / 社團,協助推廣資訊安全、增加技術交流、改善台灣資安學習環境等。

主要目標有以下四點:

輔導學生們成立與經營資安讀書會 / 社團

提供其每月一次的資安技術教學

安排導師指導資安讀書會 / 社團

促進學生學習資安與互相交流技術

TDOH - PIPE 課程方向

資訊安全的面向很廣,大方向可以分為 攻擊、防禦、鑑識 三大部份,
而這三大部份下的分支又十分地廣。
這學期主要先透過大家生活平常最相關的 WEB ,帶給大家相關的攻擊、防禦議題,
並會在本學期末舉辦小型的 CTF競賽,聽講之外也能有實作的部份。

關於駭客引路人 - 業師諮詢

為了提供參與學生們更多學習與解惑的機會,每月活動都將邀請 2~5 位 優秀的業界前輩 / 資安圈內優秀的學生 們擔任活動業師參與下午的交流活動上,針對學生在資安學習路上遇到的任何困難提供諮詢喔 !
不知道從何開始嗎?學習路上不知如何抉擇嗎?學習上遇到困難嗎?
那請務必要好好把握下午業師諮詢的時間好好問垮業師喔 !

本月內容

Read on →

TDOH CONF 2017 早鳥票開賣了

[早鳥就在今晚9/10 20:00開跑!]

The Dungeons of Hackers Conference 2017 - 駭客的地下城

在地下城尋求邂逅是否搞錯了什麼?
不!你並沒有搞錯!

進入這地下城,你可以享受到:

  • 不間斷美味食物陪伴下與他或她的邂逅
  • 新點子所引發的腦力激盪
  • 講師、業界人士、志工及與會者優良的交流互動環境
  • 與駭客生理時鐘相符的活動時間

走過路過不容錯過,早鳥優惠限時限量開跑中,期間限定:2017/09/09 20:00 ~ 2017/09/22 23:59!
早鳥的一般會眾票1499、早鳥的學生票更只要499!

早鳥就在今晚9/10 20:00開跑!→ https://tdohackerparty.kktix.cc/events/tdoh-conf-2017

TDOH-CONF 官網 → http://tdoh-conf.online