Yahoo Mail 爆出 Yahoobleed 的漏洞,主要原因是 imageMagick 的漏洞,但是已經修復後,Yahoo 尚未升級導致的。
新聞可見:
標籤: security
WanaCrypt 的預防更新程式下載
WanaCrypt 這幾天完全洗版,新聞全部滿版,連微軟都破例提供 Windows XP 的安全性更新程式可以安裝。
- 註:此篇的內容純粹蒐集分析新聞做整理(因為我沒有 Windows 可以做測試)
先直接講重點,Windows 安全性更新程式 (搜尋 KB4012598 即可)
- Customer Guidance for WannaCrypt attacks - Microsoft TechNet Blog
- Microsoft Update Catalog - KB4012598
- Windows Defender Security Essentials 下載 - 目前 Windows Defender 已經可以針對發作中的惡意程式,有效的偵測並清除
簡訊認證不再安全 建議改用 App OTP 認證
現在做身份確認,常常會使用簡訊來認證,這個已經被認定不是安全的作法,建議改用 App OTP 的認證方式比較安全。
Google 與 CWI Amsterdam 攻陷 SHA-1 演算法
Google 與 CWI Amsterdam 聯手攻陷 SHA-1 演算法,可以產生出不同內容,相同的 SHA-1 的值。(碰撞攻擊 Collision)
針對台灣證券下單平臺的 DDoS 攻擊 - 2017
臺灣證券下單平臺的收到勒索信件,要求支付 Bitcoin 等贖金,不然就要發動 DDoS 的攻擊,這種電影才看得到的情節,在現實真實上演了~
部分 Android 會自動將裝置內的資料上傳到中國伺服器
某些品牌的 Android 手機有固定的後門程式,固定時間會將裝置內「完整的簡訊內容、通聯記錄、聯絡清單、地理位置」上傳到中國的 Server,而且無法關閉。
註:某些品牌包含 華為(Huawei)、中興(ZTE)
IoT殭屍網路來自同一個中國業者的韌體 - 2016
Debian Linux 特定套件使用新版本(Testing)的作法
Debian / Ubuntu Linux 某個套件需要用到 testing / sid 的套件,但是其它都還是想維持在 stable,要怎麼做呢?
- 註1:這個情況剛好發生在 Debian SSH 套件 stable 是有 Security issue (Security Bug Tracker),testing 套件是沒問題的。
- 註2:
- CVE-2016-6515 - 由此處可見 jessie (security), jessie 1:6.7p1-5+deb8u3 vulnerable
- Information on source package openssh
好站:查看帳號、密碼是否有被洩露
新聞常常看到某些網站被入侵,某些網站的密碼黨被撈走... 等等,但是自己的帳號、密碼有沒有在裡面呢?
簡單說就是查看:密碼是否有被洩漏的服務。
註:密碼檔洩露並不代表馬上會有危險,大多數網站密碼檔都會是加密過,無法反解回來的。不過用暴力法破解的話,時間足夠的話,總會有找出密碼的機會,所以看到記得立刻去更換新密碼。
Linux TCP Flaw 安全性問題的暫時解法
Linux TCP 實作 RFC 5961,但是 RFC 5961 本身設計會導致有安全性問題,而這個影響範圍很廣泛,使用 TCP 都會受到影響,ex: HTTP、FTP、SSH、Telnet、DNS、SMTP ... 等。