台灣資安新聞彙整 2022.12.05 - 12.11

巨變時代,掌握資安資訊必不可少!HENNGE 為您彙整每週資安新聞,快速洞悉產業趨勢、資安新知!

12/5

FreeBSD 系統上出現重大 Ping 漏洞

FreeBSD 操作系統的維護團隊釋出更新,修補一個影響 ping 元件的安全漏洞 CVE-2022-23093。該問題影響了所有版本的 FreeBSD 作業系統,是與堆疊緩衝區溢位(stack-based buffer overflow)相關的漏洞。

https://thehackernews.com/2022/12/critical-ping-vulnerability-allows.html

12/6

1Password 公布無密碼單一登入瀏覽器工具,支援 Google、Facebook、GitHub

密碼管理服務 1Password 正式推出單一登入(SSO)瀏覽器外掛功能,讓 Chrome、Firefox、Edge 或 Brave 使用者能直接以 Google 或 Facebook 等帳密登入網站或應用程式。

https://www.ithome.com.tw/news/154568

12/7

72% 組織電腦系統仍含有 Log4Shell 漏洞

資安廠商 Tenable 近期發表研究報告指出,該公司掃瞄全球網路主機後發現,全球仍有高達 72% 的各型組織,其電腦系統仍含有約一年前發現的嚴重資安漏洞 Log4Shell(CVE-2021-44228)。

https://www.twcert.org.tw/tw/cp-104-6773-630a3-1.html

英國隱私監管機構公佈二十多起資安事件的詳細資訊

英國的數據保護監管機關 ICO 發佈了二十多起資料外洩事件的詳細資訊,並對過失單位予以譴責,但沒有處以罰鍰。

https://therecord.media/uk-privacy-watchdog-reveals-more-than-two-dozen-data-breach-incidents/

12/8

蘋果為 iCloud 加入全程加密等安全功能

蘋果宣布包括全程加密、以金鑰驗證身分及登入 Apple ID 等三項 iCloud 安全功能,預計2023 年推向全球用戶。這三項技術包括 iCloud 進階資料防護(Advanced Data Protection)、iMessage 聯絡人金鑰驗證(Contact Key Verification)及 Apple ID 安全金鑰(Security Keys for Apple ID)。
其中,進階資料防護可啟用端對端加密(E2EE)數據備份,且使用者的個人資料只能在受信任的裝置上被解碼,因為這些裝置上保留了加密金鑰。

https://www.ithome.com.tw/news/154601

Google 警告 IE 上的零日漏洞

北韓的威脅行為者正積極利用一個 IE 上的零日漏洞攻擊南韓使用者。Google 威脅分析小組的研究人員發現最近的一系列攻擊是由 ScarCruft 所犯下,該組織又被稱為 APT37、InkySquid、Reaper、以及 Ricochet Chollima。新的發現指出,這些威脅行為者持續利用 IE 上的漏洞,例如 CVE-2020-1380 和 CVE-2021-26411。

https://thehackernews.com/2022/12/google-warns-of-internet-explorer-zero.html

12/9

結合雲服務與威脅情報收集與分析力,微軟跨入外部攻擊面管理

微軟今年 8 月推出外部攻擊面管理資安服務,提供無代理程式的資產探查能力,以及多種資安風險儀表板,可協助組織辨識是否出現連接未經許可基礎架構的活動,以及使用新的雲端服務資源等狀況。

https://www.ithome.com.tw/review/154562



訂閱電子報

我們將每週彙整台灣資安新聞,寄至您的信箱。