攻击者先诱导使用者存取恶意网站,利用恶意JavaScript指令码及WebAssembly程式,读取所有浏览器分页处理的各种机密资料。研究人员展示在Mac电脑透过Safari入侵受害者的Instagram,以及使用者在iPad、透过Safari登入的Google帐号,取得Gmail信件内容,同时,他们也在平板电脑上,展示另一个相当骇人的攻击手法:透过Chrome复原YouTube影片观看记录。
研究人员在去年9月通报上述漏洞,苹果在macOS Ventura 13.0开始提供相关缓解措施,但该功能预设关闭,所幸目前尚未出现遭到利用的迹象。对此,苹果对科技新闻网站Ars Technica透露,后续将透过软体更新予以修补。
资料来源
1.
3.
10月26日资安业者F5发布资安通告,表示旗下的应用交付控制器系统BIG-IP存在重大漏洞CVE-2023-46747,这项漏洞存在于组态设定公用程式,攻击者可在未通过身分验证的情况下,透过管理连接埠或是IP位址,存取BIG-IP系统并执行任意系统层级的命令,CVSS风险评分为9.8,影响所有版本的BIG-IP系统,呼吁IT人员应尽速套用更新程式。此外,该公司强调,此漏洞仅影响控制仪表板,资料仪表板不受影响。
发现该漏洞的资安业者Praetorian透露,这项漏洞与去年公布的另一个漏洞CVE-2022-26377相关,涉及请求走私(Request Smuggling),该公司预告将在数日后揭露进一步资料。
资料来源
1.
2.
思科旗下的威胁情报团队Talos近期发布资安公告,被揭露漏洞的产品包括:VPN应用程式SoftEther VPN、日本文书处理软体一太郎、Peplink Surf路由器,弱点总数为17个。
其中,有9个是存在于SoftEther VPN,最严重的是CVE-2023-27395,有可能导致记忆体堆叠的缓冲区溢位,而使得攻击者能够执行任意程式码,CVSS风险评分为9.0。其余的漏洞可分成两种类型,有4个能用于中间人攻击(MitM),另外4个则是会导致软体当机,使得VPN系统出现无法正常服务的状态。
而对于一太郎的部分,研究人员总共发现4个漏洞,攻击者可引诱使用者开启恶意档案来触发这些漏洞,进而在受害电脑执行任意程式码。而在Peplink Surf路由器的部分,研究人员找到3个跨网站指令码(XSS)漏洞,以及3个指令注入漏洞。
【资安产业动态】
2.
美国网路安全暨基础设施安全局(CISA)、卫生及公共服务部(HHS)、卫生部门协调委员会(HSCC)联手,针对医疗产业发布线上工具,协助IT人员改善资安,目前这套工具包含下列三种资源:
(一)、CISA提供的网路安全健康检查服务,利用漏洞扫描帮助组织减少攻击面;
(二)、HHS列出医疗产业网路安全最佳实作,当中提及如何强化网路安全韧性;
(三)、HHS与HSCC合作发布网路安全框架导入指引,协助组织评估、提升网路安全韧性的能力,并提供将网路安全、资讯安全、风险管理进行串连的建议。
【其他新闻】