漏洞修補
」
新系統有攻擊漏洞 蘋果二次發佈「快速安全回應」搶修iOS
由於目前現行最新iOS系統內有漏洞,可以被駭客用於遠端攻擊。目前蘋果已於11日向全球用戶推送iOS 16.5.1(a)「快速安全回應」更新,呼籲所有用戶趕快安裝,以便修補漏洞。根據蘋果官網資料顯示,這次iOS/iPadOS 16.5.1(a)「快速安全回應」更新,其主要是修補代號為 CVE-2023-37450的WebKit 漏洞,駭客只要使用該漏洞,就能在目標裝置內啟動任意程式碼,進而操控用戶的手機或是平板。值得一提的是,「快速安全回應」是蘋果在iOS 16之後才推出的更新模式,其最主要的目的就是在發現安全性漏洞時,可以快速地釋出小版本的漏洞修補程式,不用再像過去要用戶下載超大的更新檔案。而這次也是蘋果第二次釋出快速安全回應,檔案大小只有少少的1.4Mb。
Windwos新漏洞「涵蓋全版本」 駭客短時間「搶走你電腦」
微軟旗下的作業系統Windows近期爆出最新的零時差漏洞,只要駭客取得擁有部分登入全的用戶帳號,就可以透過這個漏洞將自己升級為電腦管理員,進而在短時間內掌控目標電腦。而這個漏洞涵蓋所有版本的Windwos作業系統,其中也包含現行熱門的Windwos 11、Windows 10與Windows Server 2022。綜合外媒報導指出,資安人員Abdelhamid Naceri先前發現微軟作業系統中存在有Windows Installer的權限擴張漏洞「CVE-2021-41379」,經過研究後認為,透過CVE-2021-41379可以更新的方式,讓有心人士取得電腦的最高管理權限。Abdelhamid Naceri在發現後就依照慣例提交給微軟,而微軟也在11月9日發布相關修補程式。但後來Abdelhamid Naceri研究後,發現微軟所發布的CVE-2021-41379漏洞修補程式並沒有妥善修補,事實上,在11月9日發布的更新程式中總共修補了55個安全漏洞,CVE-2021-41379僅被列為「重要漏洞」而非「重大漏洞」或是「零時漏洞」。再加上微軟降低了給予Abdelhamid Naceri的抓漏獎金。認為自己的發現沒有受到微軟重視的Abdelhamid Naceri,就在22日釋出了概念性驗證攻擊程式。Abdelhamid Naceri所發布的軟體,可以繞過9日微軟發布的更新,依循同樣的漏洞對電腦展開攻擊。國外媒體實際測試的情況下,也證實只需要幾秒鐘的時間,就可以將手上僅有訪問權限的使用者帳號,提升至擁有系統管理員權限的管理者帳號。而對於Abdelhamid Naceri的行為,其實也有不少資安人員有所共鳴,他們也紛紛抱怨微軟對於抓漏獎金的隨意調整,甚至大幅度的降低獎金金額。而隨著Abdelhamid Naceri的概念性攻擊軟體釋出後,思科Talos資安團隊就在23日發現已經有駭客使用該漏洞打造的攻擊程式樣本。思科Talos資安團隊表示,目前看到的軟體偏向是實驗性質,推測應該是有駭客團體打算在測試與調整後,進行大規模的攻擊。
工業物聯網新危機 企業無法停機修補關鍵漏洞暴露被攻擊的成本
資安大廠趨勢科技一份針對4G/5G企業專用網路所面臨的新興威脅點出7個駭客可能入侵核心 4G/5G 網路的重要破口,駭客可經由攻擊智慧製造環境中的工業控制系統來竊取機敏資訊、破壞生產線,或者向企業勒索,更嚴重的是許多企業都陷入無法承擔停機修補關鍵系統漏洞的成本,所以只好冒著漏洞遭到攻擊風險的困境。這份「來自 4G/5G 核心網路的攻擊:工業物聯網在已遭入侵的園區網路內的風險」的研究報告顯示,製造業正走在工業物聯網 ( IIoT) 的應用潮流上,隨著5G興起,5G 無遠弗屆的連網能力將大幅提升其速度、安全與效率,但也帶來新的威脅,其中最值得注意的就是許多企業都陷入無法承擔停機修補關鍵系統漏洞的成本,所以只好冒著漏洞遭到攻擊風險的困境。報告提出7個駭客可能入侵4G/5G網路的破口,駭客一旦經由破口進入核心網路,就能在網路內橫向移動並試圖攔截或篡改網路封包,包括執行核心網路服務的伺服器:攻擊這些標準商用x86架構伺服器的漏洞和強度不足的密碼、虛擬機器 或容器:若未套用最新修補更新就可能成為破口。網路基礎架構:修補更新經常忽略了網路硬體裝置也需要修補。基地台:這些裝置同樣含有韌體,因此也不時需要更新。趨勢科技模擬11種攻擊情境,其中破壞力最強的是攻擊 IT 和現場工程師經常使用的微軟遠端桌面協定(RDP),由於升級5G並不會讓 RDP 流量自動獲得保護,成為駭客藉此下載惡意程式或勒索病毒,甚至直接挾持工業控制系統。趨勢建議,企業專用行動網路的建置,不僅牽涉到終端使用者,更牽涉其他單位,此外,企業專用4G/5G行動網路屬於大型基礎架構,而且使用壽命很長,所以一旦建置之後就很難汰換或修改。因此,有必要一開始就內建資安防護,在設計階段就預先找出及預防可能的資安風險。
R.I.P大限將至! Flash Player 12月31日正式劃下句點
Flash Player即將謝幕!Adobe即將在12月31日終止支援Flash Player,而明年1月1日起,用戶不會再獲得任何功能及漏洞修補程式,明年1月12日Adobe也將封鎖Flash內容,並呼籲用戶刪除Flash Player,才不會有資安疑慮。Adobe 本周再次提醒用戶12月31日是Flash Player產品生命周期終點(End of Life, EOL),會在當天之前發出警告,呼籲用戶從電腦上移除,當Flash Player的EOL日一到,不但不會再提供功能和安全更新,也會從網站上移除所有Flash Player的下載連結。Adobe還計畫從2021年1月12日起,就會封鎖Flash Player播放的內容,之後,即使用戶想用「有漏洞的Flash Player」來看影片也無法做到。根據《InfoWorld》報導,Adobe公司之所以會這麼堅決讓Flash Player「下台一鞠躬」,原因是這幾年Flash Player已經成為駭客和惡意程式設計者的下手目標。由於Flash Player漏洞太多,加上HTML5、WebGL及WebAssembly,功能都能取代,主要瀏覽器,像是微軟的IE/Edge、Google Chrome、Mozilla Firefox、Apple Safari都早就預設不啟用,微軟則已經確認Windows 10的下一次更新將自動刪除Flash Player。