Apple 和 Android 同時都遇到的安全性問題,主要發生在硬體晶片上,下述為官方的更新連結:
標籤: security
IIHS 選出 最安全 和 車禍死亡率 最高的車款 - 2017
全球最權威的車輛安全檢測機構就是 IIHS,上個月發表出針對美國 2012 ~ 2015 死亡車禍進行分析,選出最安全的 12 款車和死亡率最高的 10款車。
ImageMagick 造成 Yahoo Mail 的 Yahoobleed 漏洞
Yahoo Mail 爆出 Yahoobleed 的漏洞,主要原因是 imageMagick 的漏洞,但是已經修復後,Yahoo 尚未升級導致的。
新聞可見:
WanaCrypt 的預防更新程式下載
WanaCrypt 這幾天完全洗版,新聞全部滿版,連微軟都破例提供 Windows XP 的安全性更新程式可以安裝。
- 註:此篇的內容純粹蒐集分析新聞做整理(因為我沒有 Windows 可以做測試)
先直接講重點,Windows 安全性更新程式 (搜尋 KB4012598 即可)
- Customer Guidance for WannaCrypt attacks - Microsoft TechNet Blog
- Microsoft Update Catalog - KB4012598
- Windows Defender Security Essentials 下載 - 目前 Windows Defender 已經可以針對發作中的惡意程式,有效的偵測並清除
簡訊認證不再安全 建議改用 App OTP 認證
現在做身份確認,常常會使用簡訊來認證,這個已經被認定不是安全的作法,建議改用 App OTP 的認證方式比較安全。
Google 與 CWI Amsterdam 攻陷 SHA-1 演算法
Google 與 CWI Amsterdam 聯手攻陷 SHA-1 演算法,可以產生出不同內容,相同的 SHA-1 的值。(碰撞攻擊 Collision)
針對台灣證券下單平臺的 DDoS 攻擊 - 2017
臺灣證券下單平臺的收到勒索信件,要求支付 Bitcoin 等贖金,不然就要發動 DDoS 的攻擊,這種電影才看得到的情節,在現實真實上演了~
部分 Android 會自動將裝置內的資料上傳到中國伺服器
某些品牌的 Android 手機有固定的後門程式,固定時間會將裝置內「完整的簡訊內容、通聯記錄、聯絡清單、地理位置」上傳到中國的 Server,而且無法關閉。
註:某些品牌包含 華為(Huawei)、中興(ZTE)
IoT殭屍網路來自同一個中國業者的韌體 - 2016
Debian Linux 特定套件使用新版本(Testing)的作法
Debian / Ubuntu Linux 某個套件需要用到 testing / sid 的套件,但是其它都還是想維持在 stable,要怎麼做呢?
- 註1:這個情況剛好發生在 Debian SSH 套件 stable 是有 Security issue (Security Bug Tracker),testing 套件是沒問題的。
- 註2:
- CVE-2016-6515 - 由此處可見 jessie (security), jessie 1:6.7p1-5+deb8u3 vulnerable
- Information on source package openssh