漏洞 Archives - 電腦王阿達

漏洞

       

Check Point 指出數據晶片漏洞,高通聲明:已經向 OEM 廠商釋出修復方式

Google 以及所有 Android 手機製造商都努力軟體與硬體的安全性方面各顯神通以維護用戶的權益,安全機構 Check Point 在日前卻披露了廣為使用的高通 SoC 中有一個值得關注的漏洞,理論上來說,它能夠允許惡意應用程式透過高通 MSM上的漏洞存取通話與簡訊歷史記錄,甚至還能記錄下對話內容。

Apple 對幾乎全系統推送重要安全性更新,快更新避免陷入資安危機

僅管針對口罩解鎖的 iOS / iPadOS 14.5 更新才剛來沒多久,但面對資安方面的威脅,蘋果還是不得不少見的緊急再度發出了個小版號更新,建議包括 iOS、iPadOS、watchOS 與 macOS 裝置的使用者儘速更新系統。繼續閱讀 Apple 對幾乎全系統推送重要安全性更新,快更新避免置身資安危機報導內文。

Zyxel 傳硬式編碼漏洞,大多數主打系列都中(補充 1/4 官方消息)

Zyxel 是在防火牆、VPN 和接入控制器等產品頗有盛名的品牌,受到很多公司、企業的愛用,近日荷蘭安全研究團隊 Eye Control 在其眾多主打系列中發現了號稱「最糟糕的漏洞」,並且建議眾多用戶盡快更新系統,以免受到不肖人士的侵入與挾制造成損失。

Google Play 商店應用也不安全,許多 Android 應用程式還在用過時版本核心庫

Google 一直在向用戶宣導從 Play 商店下載安裝 Android 應用程式式值得信賴且具高度安全性的來源,然而這種安全性必須建立在應用程式本身就與 Google Play 商店服務一樣強大,在開發者所使用的程式碼中都必須處於一樣的安全水準才能真正讓防線內外都很堅固。

高通旗下的處理器 DSP 晶片發現 400 個漏洞,幾乎涵蓋市面上所有手機

在智慧型手機輕薄迷你的體型中藏著眾多功能與極其複雜的零件構造,雖說各國品牌不同,但在其內裡所用的組件則是來自四面八方的供應商,不同的零組件可以追溯到不同的來源。各家手機還是具備許多共通點,高通旗下的 Snapdragon 行動平台更是在全球手機市場中擁有相當大的市占率,不性的是這也表示當特定的晶片被發現存在漏洞時,全球大多數手機都會處於風險之中。

Sony 與 HackOne 合作推出 PlayStation Bug 抓漏計劃開跑,嚴重漏洞獎金 5 萬美元起跳

雖然近期玩家們的目光都放在即將推出的 PlayStation 5 上面,不過可別忘了縱橫家用主機平台數年依然老當益壯的 PlayStation 4 平台,即便 PlayStation 5 推出,這款主機依然會是家用主機界的不死鳥。現在 PlayStation 更宣布了一個 PS4 漏洞獎金計畫,只要你有能力就不吝給你獎金!

新漏洞允許駭客偽造可信的藍牙裝置侵入設備,不使用藍牙時請關閉

藍牙是現在所有手機、筆電與平板電腦的基本配備,由於紛紛取消耳機孔,藍牙耳機也幾乎成了人手一副的周邊,更別提還有智慧手環、手錶等皆以藍牙為連接方式,也因為無所不在,所以讓人們開始忘記它的存在。國外研究單位發現一個新的藍牙漏洞,可讓攻擊者偽裝成可信任的藍牙裝置,並藉由此來對使用者的設備發動藍牙冒充攻擊(BIAS)。

iPhone 與 Mac 相機的 Safari 盜錄漏洞已被 Apple 補上

這漏洞看起來很可怕,實際上也還真的蠻可怕的。也難怪直到 Apple 在近幾個月祭出了補洞更新後,安全專家才正式公開這個 WebKit 的老漏洞 -- 據說是真的很老很老,只是這中間還沒有被有心人士給挖到利用,所以沒有傳出什麼災情(應該)。資安專家 Ryan Pickren 最近揭露,包括 iOS 與 macOS 的 Apple 裝置上的相機,都有可能因為 Safari 的漏洞而被盜用,好在這個 iPhone 與 Mac 相機的 Safari 盜錄漏洞已被 Apple 補上。所以重點在,記得更新記得更新記得更新(很重要所以說三遍)。

Google 鼓勵大家一起來入侵 Titan M 安全晶片,最高獎勵 100 萬美元

長期以來,較大規模的軟硬體商,包含 Microsoft、Google 都以懸賞方式獎勵技術人員發掘公司產品中的問題與 Bug,特別是 Google 給起獎勵金更是毫不手軟,只要你有能力拿都歡迎挑戰。這回Google 更是以新的 Android 安全獎勵計劃一口氣提高獎勵金額,如果你發面並證明 Google 自家安全晶片 Titan M 存在缺陷,你將可能獲得最高 100 萬美元獎勵金。

Apple Watch 對講機 功能因有被竊聽風險而暫時關閉

有別於 Google Home 用人來聆聽語音並且還洩露了的狀況,同樣也發生語音應用漏洞狀況的 Apple 這邊倒是比較玄了點。根據外媒的報導,蘋果目前已經暫時停止了 Apple Watch 智慧手錶上的對講機功能,原因是目前查到有漏洞,因此可能會未經同意而被利用來監聽到「iPhone」上的聲音 -- 咦,對講機功能不是 Apple Watch 之間的功能嗎?怎麼會跟 iPhone 有關呢?繼續閱讀 Apple Watch 對講機 功能因有被竊聽風險而暫時關閉 報導內文。

Facebook 資安出包無極限 ,數年來有逾上億用戶帳密可直接被 2 萬員工存取

看來 Facebook 的資安原則的薄弱程度,可說是超乎所有人想像,而且也只有他們可以超越自己。跟先前劍橋分析(Cambridge Analytica)的個資洩漏案有過之而無不及,Facebook 最近被專家爆料居然自 2012 年來,將用戶的登入憑證資訊以無加密 / 明碼的狀態(就... 一般純文字),並且可被約兩萬名臉書內部的員工 看光光 存取。最有意思的是,臉書在得知此事之後所發的聲明,除了避重就輕說到他們已經在一月發現這個沒有對敏感登入資訊加密的漏洞外,還說「截至目前為止無證據跡象顯示任何內部的人濫用或不當使用這些資料」-- 感覺真的是超負責任的啊(反義)。繼續閱讀 Facebook 資安出包無極限 的詳細報導。

Facebook 即時通也爆漏洞 :你跟誰聊天過都能被查出

幾次的隱私漏洞之後,臉書的資安保密能力也被許多人以及單位用放大鏡加強檢視。前陣子,來自 Imperva 的資安專家 Ron Masas,就透過 CSFL(cross-site frame leakage)漏洞,發現了可以透過簡單頁面就查出 Facebook 使用者喜好狀態(有沒有點讚)的檢查功能。現在,他們採用同樣的方式居然發現 Facebook 即時通也爆漏洞 ,可以透過 iFrame 框架元件的比對,進一步查出使用者是否最近有與他人聊天過。

Android TV 隱私出大包 暫停 Google Photos 連動,曝露數百帳號與資料圖片

儘管身為科技編輯好像歷年來好像已經見識過不少資訊漏洞的新聞,不過這次 Google 自家 Android TV 隱私出大包 ,直接曝露上百個帳號隱私(帳號名 + 帳號圖片)給「一般使用者」的狀況,還真的是極為少見 -- 畢竟以往即便有漏洞,大多也還需具備一定編碼開發等資訊能力,才有機會取得相關資料(重點是大多數公司還可以說這些漏洞「沒有明顯被利用的跡象」),然而這次也許就連 Google 也知道事情大條,所以立即關閉了 Google Photos 與 Android TV 之間的連動... 只是這樣的頁面早已不知道被多少用戶看過了,可以說是相當尷尬的狀況。

Google+ 資安漏洞連續爆 ,要提早說掰了

雖然官方透露的主因是使用率太低,但應該就是因為誇張的資安漏洞(而且還時隔半年才公布)而預計在明年 8 月底關閉個人版本的 Google+,這兩天官方部落格又宣布,由於「又」一個影響 5,250 萬用戶的 API 漏洞 -- 你沒看錯,上一次「才」50 萬,這次根本算是大炸鍋了 -- Google+ 將會提早到明年 4 月正式關閉個人版本。是說,這 Google+ 資安漏洞連續爆 的印象之差,企業版的用戶真的還敢用嗎?重點是這次的影響範圍也包括企業用戶啊...