2019年年底,不少厂商与公司纷纷推出新产品,与此同时,科技界也惊爆不少安全漏洞问题。其中,苹果的升级安装出现异常问题后,再次传出安全漏洞!小编整理了过去一个月发生的13个安全漏洞中,苹果几乎就占了一半! 1. 苹果Safari传送用户数据 苹果向来重视用户私隐与安全,但近日却有消息称,苹果的Safari浏览器长期以通过其“欺诈网站警告功能”,向Google和腾讯发送数据。最令人担心的是,这些数据其中就包括了用户的IP地址。如果用户想要阻止数据发送,可透过Safari设置--安全设置,取消“Fraudulent Site欺诈网站警告”。 2. 升级MacOS Catalina会令电邮资料流失 MacOS Apple Mail插件开发者Michael Tsai揭露,从Mojave升级到Catalina后可能导致电邮资料流失。不仅如此,透过 Drag and Drop或是AppleScript将邮件从一个邮箱移到另一个邮箱时,也会出现资料流失的问题。那是因为邮件资料与电邮伺服器重复,因此,Michael建议用户暂时不要升级到MacOS Catalina。 3. iOS 13和iPadOS漏洞,第三键盘可窃取用户资料 苹果揭露,iOS 13与iPad OS存在严重漏洞,第三方键盘应用程式即使没有获得用户许可,也可以透过这个漏洞取得设备的存取权,窃取用户资料。而该漏洞只会在接下来的更新程序里进行修补,因此,苹果也呼吁用户别在程序更新前,安装第三方键盘。 4. Windows版iTunes和iCloud被勒索程式BitPaymer感染
安全公司Morphisec Lab发现,Windows版的iTunes与iCloud已被勒索程式BitPaymer入侵,该勒索程序利用存在于Windows Bonjour Updater的“不带引号的服务路径”(Unquoted service Path)零时差漏洞,对Windows PC用户散佈勒索程式。最恐怖的是,即使已经移除iTunes,相关城市依然可以透过残留的Bonjour Updater感染用户的电脑。 5. MacOS终端模拟器iTerm2存在重大漏洞,可让骇客执行恶意指令 Mozilla资助的安全审核MOSS(Mozilla Open Source Support Program)发现,MacOS终端模拟器iTerm2存在CVE-2019-9535漏洞长达7年之久,而这个漏洞可以让骇客在用户的电脑上执行恶意指令。目前,Mozilla、ROS与iTerm2开发人员正在密切合作,推出最新3.3.6版本以修补相关安全漏洞。 6. “Windows 10更新助手”出现可供骇客创建“完全用户权限”的账户 外媒Softpedia揭露,“Windows 10更新助手”存在一个安全漏洞,可让骇客执行具有SYSTEM特权的代码,同时创建具有“完全用户权限”的帐户。也有报道指出,相关漏洞是存在于Windows 10版本1803(2018年4月更新)或更高的版本。目前,微软已经发布最新版本的“更新助手”以解决相关漏洞,但用户需要手动安装更新版本。 7. 只需200美金设备就可破解硬件防火墙 1年前,《彭博商业周刊》爆出一则惊人消息,指黑客在苹果、亚马逊等公司使用的服务器植入米粒大小的芯片,以进行间谍活动。不过,上述公司当时强烈否认了相关消息。不过,在日前的CS3sthlm安全会议上,安全研究员Monta Elkins却在现场披露,黑客只需要在网上订购一个150美元的热风焊接工具、40美元的显微镜和一些2美元的芯片,就可以更改Cisco的防火墙,以获得服务器或电脑的深层控制权! 8. 政府利用SIM卡漏洞执行监控 行动网路资安业者AdaptiveMobile Security揭露,一个名为SimJacker的安全漏洞可让骇客借由含有S@T Browser指令的短讯,直接发送恶意程序,入侵目标Sim卡。更令人惊讶的是,Simjacker攻击是由一家私人企业与各国政府合作,对指定目标进行监控,而相关机构几乎每天都锁定和监控150个对象。如今,AdaptiveMobile已将此事提报给GSM协会与SIM联盟,建议电信营运商拦截含有S@T Browser指令的简讯,变更SIM卡的安全设定,同时停止使用S@T Browser技术。 国外安全机构Proofpoint揭露,有骇客组织假冒美国工程许可委员会,向供应商的员工寄送鱼叉式网钓邮件,并附上一个开启后就会执行LookBack恶意程式的Word档。LookBack是个兼具命令控制(C&C)机制的远端存取木马程序,骇客可利用LookBack程式监视目标服务器、存取档案甚至是销毁电脑。据了解,现阶段已有17个供应商遭到攻击。 10. 黑客入侵IG,冒名发侵权警告信件 国外安全机构Sophos透露,黑客正在对Instagram(IG)用户展开网钓攻击,透过发送伪装成IG的侵权警告通知,威胁用户即将在24小时内关闭用户帐号,同时附上“着作权异议格式”(Copyright Objection Form)链接,让用户提出上诉。一旦用户进入链接,系统就会要求用户输入IG用户名称与与密码,从而骗取IG用户的登入凭证。 11. 低成本殭尸网路MasterMana 网路安全公司Prevailion发现,有不法分子使用“低成本殭尸网路MasterMana”进行网络金融诈骗,入侵用户的电子邮件并感染其系统打开后门,以窃取用户的资料。骇客透过MasterMana发送的邮件中都会附加受感染的档案,包括Word、Excel、PowerPoint与Publisher格式的文件。只要用户打开档案,就会透过Bitly链接转址到存有恶意JavaScript与VB脚本的部落格,并将用户的流量导向第三方网络服务Pastebin。 12. 强大木马Azorult居然只售100美金 根据网路安全公司Prevailion,一个名为Azorult的强大木马在网络平台仅售100美元(约420令吉)。这个木马不只可以窃取用户帐号密码、网络浏览记录、Cookies、加密货币钱包、档案、拍摄及截屏,还可以让黑客透过该木马执行矿工程式或勒索病毒! 13. Pulse Secure、Palo Alto和Fortinet VPN用户要小心APT攻击 英国国家网络安全中心(National Cyber Security Centre,NCSC)警告Pulse Secure、Palo Alto和Fortinet VPN用户,黑客正在使用该软件的APT(Advanced Persistent Threat)的漏洞进行攻击。透过APT,骇客可以在未经身份验证情况下,远端执行任何程式代码! |
ADVERTISEMENT