資訊安全

Windows 10零時差漏洞讓惡意JavaScript繞過內建的MotW安全機制[轉載自IThome]

HP威脅研究部門人員在9月間發現,勒索軟體Magniber開始利用7月公開的Windows MotW漏洞攻擊Windows 10用戶 文/林妍溱 | 2022-10-26發表 研究人員發現一項早先曝露的Windows漏洞,在微軟釋出修補程式之前,又讓惡意JavaScript檔繞過Windows用以防範網頁惡意檔案的MotW機制。上個月HP威脅研究部門人員發現勒索軟體Magniber的攻擊行動。攻擊者以防毒或Windows更新誘騙用戶下載一個內含JavaScript檔的壓縮檔。在此之前Magniber都是以MSI和EXE檔掩飾,而這是它第一次使用JavaScript檔。 圖片來源/HP  至於從網站上下載的檔案何以能在Windows上執行,引發知名安全研究人員Will Dormann好奇,因為Windows MotW並未啟動。他在今年7月揭露Windows的MotW漏洞。MotW(Mark of the...

Read More

強化網路防衛能力,美太空軍將開發「數位獵犬」計畫[轉載自科技新報]

 美國太空軍為了強化太空和地面相關設備的網路威脅防護能力,將在明年六月之內推出「數位獵犬」計畫,透過新開發的軟硬體自動偵測各種網路威脅,確保相關設施和網路運作安全。 上週太空軍太空作戰司令部司令(Space Operational Command)懷廷中將(Stephen Whiting)曾表示,該單位對於新型網路威脅的型態理解程度仍然有待加強。因此本週於加州展開的太空軍國防相關產業會議中,太空領域感知和作戰力量計畫執行主任塞區霸准將(Tim Sejba)正式公佈了「數位獵犬」(Digital Bloodhond Program)。Sejba...

Read More

Stack Overflow力推離線版本支援無法上網的開發者[轉載自iThome]

文/李建興 | 2022-10-21發表 Stack Overflow推出了Overflow Offline新計畫,並與非營利組織Kiwix合作,確保這個離線版能夠維持更新,且讓需要的人輕鬆取得,該專案開源接受社群貢獻,將繼續提高可讀性,並縮小容量使終端用戶可以更容易使用。 Stack Overflow在2019年秋天啟動這個專案,在之前一直是由Kiwix獨立更新離線版本的Stack Overflow,並且也已經將Stack Overflow發送給許多用戶,但是從2018年開始,Kiwix沒辦法再更新Stack Overflow離線版本,所以官方在過去兩年開始提供財務和技術支援,重新使Kiwix能夠繼續這些工作,並且提高教育資源在他們平臺的可用性。Kiwix建立了一支稱為Sotoki(Stack...

Read More

Google迎接無密碼!在Android導入Passkeys,微軟、蘋果也要跟上了[轉載自數位時代]

為支持FIDO(Fast IDentity Online)聯盟與全球資訊網協會(World Wide Web Consortium,又稱W3C理事會)提出的無密碼登入標準,搜尋引擎巨頭Google宣布,將在目前主流作業系統Android與瀏覽器Chrome上提供Passkeys(萬能鑰匙)功能,代表使用者不再需要輸入密碼,可直接利用手機驗證解鎖進行登入。 引入點對點加密技術,不用密碼也可安全快速登入Google指出,比起輸入密碼與進行二次身分驗證,以FIDO標準為基礎的Passkeys更加安全,因為其無法被重複使用,不會洩露伺服器資料,還能防止用戶受到網路釣魚的攻擊。此外,Passkeys也會進行自動備份,同步至雲端與密碼管理員(Password Manager),避免裝置遺失時無法登入,用戶亦可以利用手機中的Passkeys,登入附近其他裝置的應用程式與網頁。Passkeys的原理為點到點加密(end-to-end...

Read More

給企業看的永續指南,一篇搞懂 ESG 要做什麼[轉載自財經新報]

極端氣候不斷發生,反映出地球環境不斷惡化,永續發展觀念近年更加普及各國政府及企業。尤其各國政府紛紛提出淨零碳排目標,不論大小企業都需根據 ESG 指標,調整企業自身的營運及發展方向。而 ESG 的意義是什麼?與 CSR、SDGs 有什麼不同?本文整理完整資訊,說明企業需注重...

Read More

Google Chrome修補5項高風險漏洞[轉載自IThome]

文/林妍溱 | 2022-09-29發表 9月27日公布的5項Chrome高風險漏洞中,包含4項使用已釋放記憶體(Use after free)漏洞,其中的CVE-2022-3304可能導致遠端攻擊者在電腦上執行任意程式碼,或發動阻斷服務(DoS)攻擊。 Google周二(9/27)公布Windows、Linux及Mac版Chrome 106桌機版本更新於穩定通道,修補20項漏洞,包含5項高風險漏洞。 Google最新釋出的更新為Chrome 106.0.5249.61(Mac/Linux)及106.0.5249.61/62(Windows),將在未來幾天到幾周內部署到用戶端。 本月修補的20項漏洞中,Google只公布16項來自外部研究人員通報的漏洞。公布的5項高風險漏洞中有4項為使用已釋放記憶體(Use after free)漏洞,分別位於CSS(CVE-2022-3304)、Media(CVE-2022-3307),以及Survey(CVE-2022-3305及CVE-2022-3306)。第5項高風險漏洞則為對未信任輸入資訊的驗證不足漏洞,影響...

Read More

Go 1.19改進泛型程式碼效能可達20%[轉載自IThome]

文/李建興 | 2022-08-04發表 Go官方推出了1.19版本,這個版本因為Go 1.18大改版延後發布的關係,釋出的時程顯得有些緊湊。該版本的一大重點便是修正Go 1.18所加入的泛型功能,官方根據社群所回報的問題以及邊角案例,進行了不少調整,同時也改進了效能表現,部分泛型程式碼的效能提升甚至可高達20%。 文件註解現在支援連結、列表和標題語法,官方提到,這些改進將有助於用戶編寫更清楚,且易於閱讀的文件註解,特別是針對大型API套件,清楚的註解有助於降低套件的採用障礙。另外,Go的記憶體模型現在也明確定義了sync/atomic套件的行為,修改後的happens-before關係定義,現在與C、C++、Java、JavaScript、Rust和Swift等程式語言一致。當前程式不受此修改影響。 Go的垃圾回收器則加入了一個軟性的記憶體限制,該限制對於在專有記憶體容量的容器中,最佳化Go程式盡可能提高運作效率特別有用。 原文出處:https://www.ithome.com.tw/news/152298...

Read More

Chrome與Edge中的拼字檢查功能可能外洩用戶密碼[轉載自IThome]

文/陳曉莉 | 2022-09-19發表 資安業者otto(otto-js)上周提醒,若在Chrome瀏覽器中啟用進階拼字檢查(Enhanced Spellcheck),或是在微軟的Microsoft Edge中啟用Microsoft Editor,那麼瀏覽器就會將使用者於網站欄位中所輸入的資料傳送給Google及微軟,倘若輸入的是密碼,而且點擊了「顯示密碼」(Show Password),那麼連密碼都會被送出去。 進階拼字檢查是Chrome的功能之一,它會把使用者於瀏覽器中所輸入的文字傳送給Google,再使用與Google搜尋相同的拼字檢查技術,來提供拼字建議,其預設值是關閉的。至於Microsoft Editor則是微軟所開發的Chrome與Edge擴充程式,它會檢查使用者的單字及文法,還能修飾使用者的寫作風格。 然而,otto卻發現,為了改善使用者的拼字或文法,這兩個功能都會將使用者所輸入的資料回傳到它們的伺服器進行檢查,也許使用者是在編輯文件時啟用該功能,但若忘了關閉它,之後切換到其它網站時,一樣會送出使用者所輸入的資料,像是使用者名稱、電子郵件帳號、生日或社會安全碼,更嚴重的是,倘若網站提供了「顯示密碼」的功能,而且使用者點選了該功能,那明文密碼也同樣也會送出去。 otto把此一安全威脅稱為「拼字劫持」(Spell-Jacking),針對逾50個網站進行測試,並把當中的30個列為對照組,這30個網站分為6大類,包括網路銀行、線上辦公室工具、健康照護、政府、社交媒體及電子商務,發現當中高達96.7%都會把使用者輸入的個人資料傳送給Google及微軟(下圖左),也有73%會把密碼送出去(下圖右),總之,絕大多數都已淪為拼字劫持的受害者,而逾20%沒有送出密碼的並不是因為它們未被劫持,而是這些網站上並未提供「顯示密碼」功能。 圖片來源/otto 此外,不管是微軟自己的Office 365、阿里巴巴的雲端服務、Google...

Read More

Akamai攔下每秒超過7億封包的DDoS攻擊[轉載自IThome]

資安業者Akamai宣稱在9月間,成功替用戶攔截每秒超過7億封包的破紀錄DDoS攻擊 資安業者Akamai本周披露,該公司在今年9月12日成功地偵測與攔下了攻擊峰值每秒封包數多達7.04億個的分散式服務阻斷(DDoS)攻擊,超越了今年7月的每秒6.6億個封包,刷新DDoS的攻擊紀錄。 不管是7月或是9月的攻擊行動,都是由同一組駭客針對Akamai位於東歐的同一個客戶所發動的攻擊,駭客以UDP洪水攻擊同一目標,且不管是攻擊規模或頻率都有增加的趨勢,7月時累計攻擊次數為75次,9月更高達201次。 此外,7月時駭客只針對該受害組織的某個區域發動攻擊,但9月即擴大到6個區域。Akamai說明,9月時駭客早就準備好要大展拳腳,所攻擊的IP數量在1分鐘內就從100個擴大到1,813個,這些IP分散在受害組織的6個區域中,這種高度分散的攻擊手法很容易讓準備不足的安全團隊淹沒在警報中,難以評估入侵範圍與嚴重性,更遑論對抗攻擊。 Akamai並未公布此一受害組織名稱,僅說該客戶原本只有主要的資料中心受到Prolexic平臺的保護,6月才將其餘的12個資料中心也遷移至Prolexic,其資料中心散落於歐洲、北美與亞洲。Prolexic為Akamai旗下的DDoS防禦平臺,宣稱可在攻擊流量抵達應用程式、資料中心或網路架構前便將其緩解。 原文出處:https://www.ithome.com.tw/news/153101...

Read More

報告:有 30% 儲存數據是多餘或過時資料!但為什麼不刪任何數據,反而更危險?[轉載自科技報橘]

在這大數據時代,數據可說是企業最寶貴的資產。隨著雲端架構的快速發展,許多企業也導入了相關技術以便管理越來越多的數據,並秉持著「一筆數據都不能刪」的原則。根據 TechOrange 《雲端 AI 應用大調查》報告指出,約 37% 企業認為,數據管理和分析自動化是企業...

Read More
})(jQuery)