- 2020-03-05 【漏洞預警】微軟Exchange伺服器存在安全漏洞(CVE-2020-0688),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
CVE-2020-0688肇因於Exchange伺服器未在安裝時建立唯一金鑰,使得攻擊者可透過授權使用者取得金鑰,利用傳遞特製payload到Exchange伺服器,造成記憶體毀損展開攻擊。 攻擊者需先透過授權使用者資訊,以開發者工具取得ViewStateUserKey與__VIEWSTATEGENERATOR值後,利用公開的.NET參數反序列化工具造訪特定頁面,便可遠端執行任意程式碼。
【台灣學術網路危機處理中心】 - 2020-02-28 【漏洞預警】Google Chrome瀏覽器存在安全漏洞(CVE-2020-6407與CVE-2020-6418),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
Google資安團隊與Mozilla研究人員發現,Google Chrome瀏覽器存在整數溢位(Integer overflow)、越界記憶體存取(Out of bounds memory access) (CVE-2020-6407)及類型混淆(Type confusion) (CVE-2020-6418)的安全漏洞,攻擊者可藉由誘騙使用者點擊含有惡意程式碼的連結,導致遠端執行任意程式碼
【台灣學術網路危機處理中心】 - 2020-02-26 以色列選舉系統漏洞導致選民資料外洩
根據以色列新聞媒體「Haaretz」2/9報導,資訊廠商Feed-b幫以色列政黨「聯合黨」(Likud)建置之選舉管理平台Elector,有重大資安漏洞,只要檢視Elector首頁原始碼,就能看到系統管理者帳號與密碼,讓任何人都能藉由管理者權限下載以色列所有選民約645萬人個資。這些選民資料包含姓名、身分證號碼、地址、性別及電話號碼等,Feed-b已在得知消息後馬上修補該漏洞。
【行政法人國家資通安全科技中心】 - 2020-02-24 【漏洞預警】通航DVR存在安全漏洞,煩請儘速確認並進行更新。
TWCERT/CC發布資安漏洞,通航DVR漏洞資訊如下: 1、通航DVR - 未經授權存取維護管理介面 影響產品:通航TAT-76系列DVR 20191216前版本、通航TAT-77系列DVR 20200213前版本 CVSS3.1:8.1(High) (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
【台灣學術網路危機處理中心】 - 2020-02-21 美國防部要求承包商須具備網路安全認證
美國國防部(Department of Defense, DOD)於1/31宣布,2020年9月底前,該部將要求部分競標國防部合約之承包商具備網路安全驗證,此一驗證將奠基於國防部所發表之「網路安全成熟度模型驗證1.0」(Cybersecurity Maturity Model Certification, CMMC),承包商必須依據專案之機密性,取得不同等級之安全驗證。
【行政法人國家資通安全科技中心】