漏洞 Archives - 電腦王阿達

漏洞

       

Google 鼓勵大家一起來入侵 Titan M 安全晶片,最高獎勵 100 萬美元

長期以來,較大規模的軟硬體商,包含 Microsoft、Google 都以懸賞方式獎勵技術人員發掘公司產品中的問題與 Bug,特別是 Google 給起獎勵金更是毫不手軟,只要你有能力拿都歡迎挑戰。這回Google 更是以新的 Android 安全獎勵計劃一口氣提高獎勵金額,如果你發面並證明 Google 自家安全晶片 Titan M 存在缺陷,你將可能獲得最高 100 萬美元獎勵金。

Apple Watch 對講機 功能因有被竊聽風險而暫時關閉

有別於 Google Home 用人來聆聽語音並且還洩露了的狀況,同樣也發生語音應用漏洞狀況的 Apple 這邊倒是比較玄了點。根據外媒的報導,蘋果目前已經暫時停止了 Apple Watch 智慧手錶上的對講機功能,原因是目前查到有漏洞,因此可能會未經同意而被利用來監聽到「iPhone」上的聲音 -- 咦,對講機功能不是 Apple Watch 之間的功能嗎?怎麼會跟 iPhone 有關呢?繼續閱讀 Apple Watch 對講機 功能因有被竊聽風險而暫時關閉 報導內文。

Facebook 資安出包無極限 ,數年來有逾上億用戶帳密可直接被 2 萬員工存取

看來 Facebook 的資安原則的薄弱程度,可說是超乎所有人想像,而且也只有他們可以超越自己。跟先前劍橋分析(Cambridge Analytica)的個資洩漏案有過之而無不及,Facebook 最近被專家爆料居然自 2012 年來,將用戶的登入憑證資訊以無加密 / 明碼的狀態(就... 一般純文字),並且可被約兩萬名臉書內部的員工 看光光 存取。最有意思的是,臉書在得知此事之後所發的聲明,除了避重就輕說到他們已經在一月發現這個沒有對敏感登入資訊加密的漏洞外,還說「截至目前為止無證據跡象顯示任何內部的人濫用或不當使用這些資料」-- 感覺真的是超負責任的啊(反義)。繼續閱讀 Facebook 資安出包無極限 的詳細報導。

Facebook 即時通也爆漏洞 :你跟誰聊天過都能被查出

幾次的隱私漏洞之後,臉書的資安保密能力也被許多人以及單位用放大鏡加強檢視。前陣子,來自 Imperva 的資安專家 Ron Masas,就透過 CSFL(cross-site frame leakage)漏洞,發現了可以透過簡單頁面就查出 Facebook 使用者喜好狀態(有沒有點讚)的檢查功能。現在,他們採用同樣的方式居然發現 Facebook 即時通也爆漏洞 ,可以透過 iFrame 框架元件的比對,進一步查出使用者是否最近有與他人聊天過。

Android TV 隱私出大包 暫停 Google Photos 連動,曝露數百帳號與資料圖片

儘管身為科技編輯好像歷年來好像已經見識過不少資訊漏洞的新聞,不過這次 Google 自家 Android TV 隱私出大包 ,直接曝露上百個帳號隱私(帳號名 + 帳號圖片)給「一般使用者」的狀況,還真的是極為少見 -- 畢竟以往即便有漏洞,大多也還需具備一定編碼開發等資訊能力,才有機會取得相關資料(重點是大多數公司還可以說這些漏洞「沒有明顯被利用的跡象」),然而這次也許就連 Google 也知道事情大條,所以立即關閉了 Google Photos 與 Android TV 之間的連動... 只是這樣的頁面早已不知道被多少用戶看過了,可以說是相當尷尬的狀況。

Google+ 資安漏洞連續爆 ,要提早說掰了

雖然官方透露的主因是使用率太低,但應該就是因為誇張的資安漏洞(而且還時隔半年才公布)而預計在明年 8 月底關閉個人版本的 Google+,這兩天官方部落格又宣布,由於「又」一個影響 5,250 萬用戶的 API 漏洞 -- 你沒看錯,上一次「才」50 萬,這次根本算是大炸鍋了 -- Google+ 將會提早到明年 4 月正式關閉個人版本。是說,這 Google+ 資安漏洞連續爆 的印象之差,企業版的用戶真的還敢用嗎?重點是這次的影響範圍也包括企業用戶啊...

安全研究人員發現 macOS 存在允許入侵者繞過安全機制轉存所有密碼的漏洞

所有的操作系統中皆存在零日缺陷與其他安全問題,通常會是由安全公司、原廠的研究人員等發現,然後進行修復補丁的開發並且在發現新的問題或問題擴散之前填補已知的漏洞,這回一位身兼前任駭客的研究人員發現了一個 macOS 輔助功能中的漏洞,將能使有心人士獲得你所有的密碼。

會洩漏精確定位資訊的 Google Home 與 Chromecast 漏洞 ,官方正尋求解決辦法

資安專家近期發現,Google Home 以及 Chromecast 這兩個裝置,由於對於三方取用隱私資訊的資訊安全保護機制相對薄弱的關係,導致惡意服務可能取得使用者相對 IP 位址所能給予的資訊要更為精確的定位資訊(僅 30 英呎之差... 其實有點恐怖啊)。對此,Google 則是承諾將會在七月中提供修正這個 Google Home 與 Chromecast 漏洞 。

CSS 漏洞 將使 Facebook 使用者隱私一覽無遺,研究人員呼籲儘快更新瀏覽器

稍微學過一點網頁設計的朋友通常會聽過 CSS 這個東西,CSS 可以說是為了讓 HTML、XML 文檔能更多采多姿而生,但 CSS 語言也不完全都是個好東西,有時候可能會引起資安威脅。像是最近任職於 Google 的安全工程師 Ruslan Habalov 發現到 CSS 在混合模式(mix-blind-mode)這個近期才被引進的功能下,透過 iframe 語法將 Facebook 頁面嵌入後,竟導致隱私洩漏問題。由於是 CSS 方面的問題,因此這個黑鍋勢必要讓主流瀏覽器們背上。Ruslan 認為這個問題雖然影響很大,但只要更新瀏覽器,至少可以封住這個功能帶來的隱私洩漏問題: ▲Facebook 雖然是受害者,但漏洞來源竟是許多網頁設計師熟悉的 CSS(圖片來源)

以色列安全公司公布 Ryzen 13個漏洞,24小時回覆期限打個 AMD 措手不及

這一年來 AMD 的 Ryzen 系列可以說是推出後勢如破竹,在各領域上都獲得使用者的肯定,眼看著第二代 Ryzen 處理器也即將發表,卻有一家名不見經傳的以色列安全公司表示發現 Ryzen 上的 13 個安全漏洞,並且要求在 24 小時內提出回覆,目前 AMD 正在核查證實這些問題。

處理器漏洞問題導致Intel市值蒸發113億美元、將面臨集體訴訟

近期因Meltdown及Spectre兩個處理器漏洞,使得Intel品牌形象大受影響,即便Intel強調實際受影響情形不大,同時也積極快速釋出更新內容進行修復,但由於市場傳出Intel早在去年6月間就已經知道此漏洞問題,因此造成Intel市值在短短兩天內蒸發近113億美元,甚至將面臨美國多項集體訴訟官司。 根據Google Project Zero於去年6月便通報Intel相關處理器漏洞問題,Intel卻未能在知情當下立即向伺服器硬體合作夥伴、消費者通報處理器存有嚴重漏洞問題,因此在近期漏洞問題遭大幅報導之後,即便Intel表示已與ARM、AMD在內廠商合作填補漏洞,同時強調漏洞問題不會構成嚴重影響,依然引發許多不滿。

macOS 最新版嚴重漏洞 免密碼也能用最高權限登入(內附解決方式)

Apple 這一次更新真不知道怎麼了,除了 iOS 11 出現各種 Bug 外,就連一直以來都有著極佳安全性之稱的 macOS 系統也出問題。根據外媒報導,最新版 macOS High Sierra 中,即便別人不知道你的密碼一樣能輕鬆登入,而且還是取得最高的管理者權限,而我也實際測試自己的 MacBook Pro,真的有這麼一回事。