台灣資安新聞彙整 2023.07.10-07.16

巨變時代,掌握資安資訊必不可少!HENNGE 為您彙整每週資安新聞,快速洞悉產業趨勢、資安新知!

7/10

加拿大研究人員揭露攻擊語音身分認證系統的方法擊

來自加拿大滑鐵盧大學的兩名研究人員 Andre Kassis 與 Urs Hengartner 上個月揭露,他們發現了一個得以繞過語音身分認證(Voice Authentication)系統的方法,且倘若透過6次不同的嘗試,成功率高達 99%。

https://www.ithome.com.tw/news/157699

Revolut 的支付系統被盜超過 2,000 多萬美元

惡意攻擊者利用 Revolut 支付系統中的一個未知漏洞,從該公司的資金中盜取了超過2,000 萬美元。該錯誤源於 Revolut 在美國和歐洲系統之間的差異,這差異在會導致在交易失敗的情況下會用其該資金去退錢。

https://thehackernews.com/2023/07/hackers-steal-20-million-by-exploiting.html

7/13

安全修補程式影響特定網站,蘋果要撤回重發

本周稍早釋出修補 WebKit 零時差漏洞的更新軟體造成 Safari 在瀏覽某些網站時當掉,蘋果緊急撤回,並預告很快會重發。

https://www.ithome.com.tw/news/157760

7/14

蘋果已釋出最新 iOS、iPadOS 及 macOS Ventura 安全更新

本周稍早蘋果針對iOS、iPadOS 及 macOS Ventura 釋出的快速安全回應(RSR)軟體,包括 iOS 16.5.1 與 iPadOS 16.5.1、macOS Ventura 13.4.1,以修補已經發生濫用事件的WebKit程式碼執行漏洞 CVE-2023-37450。

https://www.ithome.com.tw/news/157777

Azure AD 將更名為 Microsoft Entra ID

微軟身分和存取管理產品線 Microsoft Entra,加入 Internet Access 和 Private Access 兩款存取控制產品,並且將在 2023 年底,更改 Azure AD 的命名為 Microsoft Entra ID。

https://www.ithome.com.tw/news/157769

WordPress AIOS 外掛以明文儲存密碼

超過一百萬個 WordPress 網站所使用的 All-In-One Security (AIOS) 安全與防火牆外掛被發現將用戶登錄嘗試中的明文密碼記錄到網站資料庫中,從而使帳戶安全面臨風險。用戶表示擔心該活動違反了多項安全合規標準,包括 NIST 800-63 3、ISO 27000 和 GDPR。

https://www.bleepingcomputer.com/news/security/wordpress-aios-plugin-used-by-1m-sites-logged-plaintext-passwords/

7/15

駭客利用微軟的漏洞入侵組織

微軟表示,其原始碼中的驗證錯誤允許名為 Storm-0558 的惡意行為者使用 Microsoft 帳戶 (MSA) 消費者簽名密鑰偽造 Azure Active Directory (Azure AD) 令牌, 這些攻擊挑中大約 25 個組織,包括政府單位和相關的消費者帳戶,以獲取未經授權的電子郵件訪問並竊取郵箱資料。

https://thehackernews.com/2023/07/microsoft-bug-allowed-hackers-to-breach.html

WormGPT:一種新的AI工具讓惡意攻擊者能夠進行精巧的網路攻擊

不出所料,生成式人工智慧 (AI) 已被惡意行為者拿來利用以作為自身謀利的工具。根據 SlashNext 的調查結果,一種名為 WormGPT 的新型生成式人工智慧的網絡犯罪工具已在地下論壇上被大肆宣傳,作為有心人士可以發起複雜的網絡釣魚和商業電子郵件入侵 (BEC) 攻擊的一種方式。

https://thehackernews.com/2023/07/wormgpt-new-ai-tool-allows.html



訂閱電子報

我們將每週彙整台灣資安新聞,寄至您的信箱。