漏洞

       

Facebook 即時通也爆漏洞 :你跟誰聊天過都能被查出

幾次的隱私漏洞之後,臉書的資安保密能力也被許多人以及單位用放大鏡加強檢視。前陣子,來自 Imperva 的資安專家 Ron Masas,就透過 CSFL(cross-site frame leakage)漏洞,發現了可以透過簡單頁面就查出 Facebook 使用者喜好狀態(有沒有點讚)的檢查功能。現在,他們採用同樣的方式居然發現 Facebook 即時通也爆漏洞 ,可以透過 iFrame 框架元件的比對,進一步查出使用者是否最近有與他人聊天過。

Android TV 隱私出大包 暫停 Google Photos 連動,曝露數百帳號與資料圖片

儘管身為科技編輯好像歷年來好像已經見識過不少資訊漏洞的新聞,不過這次 Google 自家 Android TV 隱私出大包 ,直接曝露上百個帳號隱私(帳號名 + 帳號圖片)給「一般使用者」的狀況,還真的是極為少見 -- 畢竟以往即便有漏洞,大多也還需具備一定編碼開發等資訊能力,才有機會取得相關資料(重點是大多數公司還可以說這些漏洞「沒有明顯被利用的跡象」),然而這次也許就連 Google 也知道事情大條,所以立即關閉了 Google Photos 與 Android TV 之間的連動... 只是這樣的頁面早已不知道被多少用戶看過了,可以說是相當尷尬的狀況。

Google+ 資安漏洞連續爆 ,要提早說掰了

雖然官方透露的主因是使用率太低,但應該就是因為誇張的資安漏洞(而且還時隔半年才公布)而預計在明年 8 月底關閉個人版本的 Google+,這兩天官方部落格又宣布,由於「又」一個影響 5,250 萬用戶的 API 漏洞 -- 你沒看錯,上一次「才」50 萬,這次根本算是大炸鍋了 -- Google+ 將會提早到明年 4 月正式關閉個人版本。是說,這 Google+ 資安漏洞連續爆 的印象之差,企業版的用戶真的還敢用嗎?重點是這次的影響範圍也包括企業用戶啊...

安全研究人員發現 macOS 存在允許入侵者繞過安全機制轉存所有密碼的漏洞

所有的操作系統中皆存在零日缺陷與其他安全問題,通常會是由安全公司、原廠的研究人員等發現,然後進行修復補丁的開發並且在發現新的問題或問題擴散之前填補已知的漏洞,這回一位身兼前任駭客的研究人員發現了一個 macOS 輔助功能中的漏洞,將能使有心人士獲得你所有的密碼。

會洩漏精確定位資訊的 Google Home 與 Chromecast 漏洞 ,官方正尋求解決辦法

資安專家近期發現,Google Home 以及 Chromecast 這兩個裝置,由於對於三方取用隱私資訊的資訊安全保護機制相對薄弱的關係,導致惡意服務可能取得使用者相對 IP 位址所能給予的資訊要更為精確的定位資訊(僅 30 英呎之差... 其實有點恐怖啊)。對此,Google 則是承諾將會在七月中提供修正這個 Google Home 與 Chromecast 漏洞 。

CSS 漏洞 將使 Facebook 使用者隱私一覽無遺,研究人員呼籲儘快更新瀏覽器

稍微學過一點網頁設計的朋友通常會聽過 CSS 這個東西,CSS 可以說是為了讓 HTML、XML 文檔能更多采多姿而生,但 CSS 語言也不完全都是個好東西,有時候可能會引起資安威脅。像是最近任職於 Google 的安全工程師 Ruslan Habalov 發現到 CSS 在混合模式(mix-blind-mode)這個近期才被引進的功能下,透過 iframe 語法將 Facebook 頁面嵌入後,竟導致隱私洩漏問題。由於是 CSS 方面的問題,因此這個黑鍋勢必要讓主流瀏覽器們背上。Ruslan 認為這個問題雖然影響很大,但只要更新瀏覽器,至少可以封住這個功能帶來的隱私洩漏問題: ▲Facebook 雖然是受害者,但漏洞來源竟是許多網頁設計師熟悉的 CSS(圖片來源)

以色列安全公司公布 Ryzen 13個漏洞,24小時回覆期限打個 AMD 措手不及

這一年來 AMD 的 Ryzen 系列可以說是推出後勢如破竹,在各領域上都獲得使用者的肯定,眼看著第二代 Ryzen 處理器也即將發表,卻有一家名不見經傳的以色列安全公司表示發現 Ryzen 上的 13 個安全漏洞,並且要求在 24 小時內提出回覆,目前 AMD 正在核查證實這些問題。

處理器漏洞問題導致Intel市值蒸發113億美元、將面臨集體訴訟

近期因Meltdown及Spectre兩個處理器漏洞,使得Intel品牌形象大受影響,即便Intel強調實際受影響情形不大,同時也積極快速釋出更新內容進行修復,但由於市場傳出Intel早在去年6月間就已經知道此漏洞問題,因此造成Intel市值在短短兩天內蒸發近113億美元,甚至將面臨美國多項集體訴訟官司。 根據Google Project Zero於去年6月便通報Intel相關處理器漏洞問題,Intel卻未能在知情當下立即向伺服器硬體合作夥伴、消費者通報處理器存有嚴重漏洞問題,因此在近期漏洞問題遭大幅報導之後,即便Intel表示已與ARM、AMD在內廠商合作填補漏洞,同時強調漏洞問題不會構成嚴重影響,依然引發許多不滿。

macOS 最新版嚴重漏洞 免密碼也能用最高權限登入(內附解決方式)

Apple 這一次更新真不知道怎麼了,除了 iOS 11 出現各種 Bug 外,就連一直以來都有著極佳安全性之稱的 macOS 系統也出問題。根據外媒報導,最新版 macOS High Sierra 中,即便別人不知道你的密碼一樣能輕鬆登入,而且還是取得最高的管理者權限,而我也實際測試自己的 MacBook Pro,真的有這麼一回事。

任天堂懸賞最高 2 萬美元,徵求高手找尋各種破解 3DS 和新主機 Switch 的方法與漏洞

有很多大公司陸續以懸賞的方式徵求全球高手找漏洞與破解,包含最大情色網站之一的 PornHub、軟體大廠 Windows,這次出懸賞令的是遊戲與主機廠 Nintendo 任天堂,目標則是鎖定了新上市的主機 Switch 與 3DS。

再強大的加密通訊也沒用 古老通訊漏洞SS7可截取通訊軟體訊息

現在的智慧型手機上,或多或少都會安裝一些通訊軟體,有些通訊軟體則是會強調他們有「通訊加密」的功能,來保障使用者的隱私,有時候這些公司為了捍衛使用者的隱私,甚至不惜與政府機構槓上,其中就以WhatsApp與Telgram這兩套軟體最為有名,但你可知道,其實就算不去破解通訊軟體的加密協定,只要使用一個古老的通訊漏洞,一樣可以做到取得特定使用者通訊資料的方式。