資安新聞及事件週報 2016/8/22 ~ 2016/8/26

1.重大弱點漏洞:
思科修復了NSA黑客洩漏的0day漏洞
http://fanli7.net/a/ITxinwen/hulianwang/20160820/572552.html

思科開始修補遭「方程式」鎖定的漏洞
http://www.ithome.com.tw/news/107916

蘋果釋出iOS 9.3.5,緊急修補3個竊取資料的零時差漏洞
http://www.ithome.com.tw/news/107939

phpMyAdmin 漏洞 CVE-2016-6627
https://www.phpmyadmin.net/security/PMASA-2016-50/

Fortinet FortiVoice存在多個漏洞
http://www.securityfocus.com/bid/92455

Cisco發佈多項產品安全更新
https://www.us-cert.gov/ncas/current-activity/2016/08/20/Cisco-Releases-Security-Updates

Fortinet FortiGate緩衝區溢出漏洞 CVE-2016-6909
http://fortiguard.com/advisory/cookie-parser-buffer-overflow-vulnerability

IBM Domino 8.5.1 Execute Code Overflow Vulnerability
http://www.securiteam.com/securitynews/5NP352KJGC.html

Facebook HHVM 整數溢出漏洞和拒絕服務漏洞 CVE-2016-6874
http://www.securityfocus.com/bid/92415

AVG Internet Security avgtdix.sys權限提升漏洞
http://www.securityfocus.com/bid/92540

Citrix XenApp/XenDesktop內存權限安全漏洞(CVE-2016-6493)
http://support.citrix.com/article/CTX215460

VMware 多個產品存在安全性弱點
http://www.vmware.com/security/advisories/VMSA-2016-0010.html

Apache Sentry任意代碼執行漏洞(CVE-2016-0760)
http://mail-archives.apache.org/mod_mbox/sentry-dev/201608.mbox/%3CCACMN7ixDqDyOZGLEvsMUVHBiJ6crq8zdy%2B2mNfRooNhnk7CJ1g%40mail.gmail.com%3E

VMware Identity Manager 及 vRealize Automation 多個漏洞 CVE-2016-5335 CVE-2016-5336
http://www.vmware.com/security/advisories/VMSA-2016-0013.html

Win 10又曝系統漏洞:Kindle連接就藍屏
http://news.cnyes.com/news/id/2165307

警惕!智能路由或存在多個安全漏洞
http://digi.163.com/16/0823/06/BV4P2RGG0016192R.html

微信現任意代碼執行漏洞攻擊者可獲取完全控制權
http://www.yixieshi.com/49806.html

Omegle Lets Anyone Access Your Anonymous Chats
http://news.softpedia.com/news/omegle-lets-anyone-access-your-anonymous-chats-507527.shtml

Microsoft Windows xxxInsertMenuItem Out-Of-Bounds Access Privilege Escalation Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-16-453/

2.資安事件新聞:
A.病毒木馬:
勒索病毒侵台居亞洲第二,僅次日本
http://blog.trendmicro.com.tw/?p=27423

使用拋棄式電子郵件信箱服務的 R980 勒索病毒
http://blog.trendmicro.com.tw/?p=26764

芬安全F-Secure發表最新試驗報告 關於勒索軟體你或許不知道的事
http://www.cna.com.tw/postwrite/Detail/199317.aspx

小心別中! 勒索病毒愛台灣
http://udn.com/news/story/6/1918902

趨勢科技:APT 攻擊、勒索軟體成臺灣企業資安大威脅
http://technews.tw/2016/08/26/trendmicro-apt-attack-ransomware-is-the-threat-of-taiwan-enterprise/

比特幣助長勒索軟體氾濫,2016 年成長高達四倍
http://technews.tw/2016/08/24/bitcoin-help-spread-the-threat-of-ransomware-quadrupled/

CrowdStrike Machine Learning and VirusTotal
https://www.crowdstrike.com/blog/crowdstrike-machine-learning-virustotal/

B.行動安全:
Opera VPN服務登陸Android平臺,能翻牆也能幫你檢測Wi-Fi網路安全性
http://www.ithome.com.tw/news/107911

Android 7.0「牛軋糖」正式版出爐了!
http://www.ithome.com.tw/news/107877

蘋果資安出問題? 英國律師收到駭客連結
http://www.101newsmedia.com/news/25960

蘋果發佈軟件更新應對「一鍵感染」間諜軟件
http://www.bbc.com/zhongwen/trad/world/2016/08/160825_apple_ios_security_flaws

iPhone 出現嚴重安全漏洞!一 Click 連結即被越獄及安裝惡意軟件
http://unwire.hk/2016/08/26/ios-security-flaws/mobile-phone/

Update your iPhones, iPads right now – govt spy tools exploit vulns
http://www.theregister.co.uk/2016/08/25/update_your_ios_devices_now_theres_an_apt_in_the_wild/

C.事件:
美國攻擊全球的網路「武器庫」遭襲
http://news.sina.com.tw/article/20160820/18349477.html

新手法,駭客利用VM隱藏惡意行為
http://www.cert.org.tw/twcert/newsdetail/2859

駭客竊天貓、珀萊雅個資 轉售詐騙集團
http://news.tvbs.com.tw/local/670099

資安攻防培訓 3百人踴躍報名
http://times.hinet.net/news/19249958

紐約時報遭駭客企圖入侵,FBI介入調查
http://www.ithome.com.tw/news/107904

了解重要基礎設施的受攻擊面
http://blog.trendmicro.com.tw/?p=26560

美資安公司:亞太企業遇駭反應慢半拍
http://www.taiwannews.com.tw/etn/news_content.php?id=2970812

印度委外潛艇製造商遭駭,2.2萬頁機密文件外流
http://www.ithome.com.tw/news/107917

影子掮客公布的攻擊工具確實來自美國國安局
http://www.ithome.com.tw/news/107854

Epic Games論壇遭駭,80萬用戶資料外洩
http://www.ithome.com.tw/news/107909

陸網軍 駭入國防大學竊資料 助教下載檔案 遭植後門程式 幸未洩密
http://www.appledaily.com.tw/appledaily/article/headline/20160821/37355175/

88個金融類APP被曝10大隱患 安全漏洞亟待打補丁
http://news.sina.com.tw/article/20160821/18349771.html

國內銀行投保資安險 掛蛋
http://www.chinatimes.com/newspapers/20160822000063-260205

資安區域聯防 金融入列
http://money.udn.com/money/story/5613/1915041-%E8%B3%87%E5%AE%89%E5%8D%80%E5%9F%9F%E8%81%AF%E9%98%B2-%E9%87%91%E8%9E%8D%E5%85%A5%E5%88%97

IBM:從北美數間銀行盜走數百萬美元的金融木馬GozNym已蔓延到德國
http://www.ithome.com.tw/news/107905

泰國銀行ATM遭駭被盜領1229萬泰銖,恐與一銀案背後為同一犯罪集團
http://www.ithome.com.tw/news/107920

保費僅688萬 資料保護險 上半年賣不到20張
http://www.chinatimes.com/newspapers/20160822000065-260205

補漏洞 金管會:明年成立金融資安中心
http://www.chinatimes.com/realtimenews/20160822003513-260410

一銀盜領案事件後 存保:資安控管不佳者保費調高
http://www.chinatimes.com/realtimenews/20160822003244-260410

「抓漏」或是「駭」? 金融資安中心通報平台補破網
https://www.cmmedia.com.tw/home/articles/%E3%80%8C%E6%8A%93%E6%BC%8F%E3%80%8D%E6%88%96%E6%98%AF%E3%80%8C%E9%A7%AD%E3%80%8D-%E9%87%91%E8%9E%8D%E8%B3%87%E5%AE%89%E4%B8%AD%E5%BF%83%E9%80%9A%E5%A0%B1%E5%B9%B3%E5%8F%B0%E8%A3%9C%E7%A0%B4%E7%B6%B2

銀行業運用金融科技主要資安議題探討
http://www.chinatimes.com/newspapers/20160823000238-260210

強化資安 中央存保辦座談
http://www.chinatimes.com/newspapers/20160823000236-260210

FinTech的挑戰 App化有資安風險
http://udn.com/news/story/6/1913851

D.研究報告:
基於鏡像流量的漏洞挖掘思路
http://www.itdadao.com/articles/c15a228370p0.html

黑客實戰IIS服務器的漏洞攻防
http://www.weixianmanbu.com/article/450.html

利用MSF技巧進入服務器
http://www.bugbank.cn/pwn/detail/57ba9a5be0d49b8e580c7f29.html

NSA Equation Group洩露的天融信產品漏洞分析
http://www.qingpingshan.com/pc/aq/125153.html

必虎路由器大量高危漏洞分析
http://www.freebuf.com/news/112626.html

禁用Js獲取權限(愛情動作片站點實例講解)
http://www.exp1oit.com/js-console.html

E.商業:
Mozilla投資德國反追蹤瀏覽器開發商Cliqz ,加強網路瀏覽隱私安全性
http://www.ithome.com.tw/news/107910

Google兩年內將終止Windows、Linux、Mac版Chrome App
http://www.ithome.com.tw/news/107856

重新思索資安架構 以新思維、新技術禦知未來
http://news.networkmagazine.com.tw/classification/security/2016/08/23/67142/

F.其他:
頂級駭客們 最感興趣的東西是這些
http://www.nownews.com/n/2016/08/20/2206852?from=fb_news

日本擬新設培訓機構 強化基礎設施防禦駭客攻擊
http://big5.chinanews.com/gj/2016/08-22/7980152.shtml

使用對嘴自拍影片應用程式: Dubsmash 和 Musical.ly 的三項兒童隱私保護祕訣
http://blog.trendmicro.com.tw/?p=26509

智慧電表全民化 明年啟動
http://money.udn.com/money/story/5648/1917563-%E6%99%BA%E6%85%A7%E9%9B%BB%E8%A1%A8%E5%85%A8%E6%B0%91%E5%8C%96-%E6%98%8E%E5%B9%B4%E5%95%9F%E5%8B%95

刷臉解鎖很安全?這些“駭客”要顛覆你的認識
https://news.xfastest.com/%E5%85%B6%E4%BB%96/24868/hackers-trick-facial-recognition-logins-photos-facebook/

3.近期資安活動及研討會

黑魔法防禦術1-2 - 主機防禦基礎 2016/08/28 15:00~17:00
http://tdohackerparty.kktix.cc/events/realdefense1-2

Veeam Solution Day 2016 9 月 6 日 08:00-16:30(08:00 開始報到)
http://www.gwms.com.tw/veeamsolutionday/index.html#agenda

2016網路交易安全趨勢論壇 9月7日
http://www.accupass.com/event/register/1608171008481403172482

數位轉型首要挑戰-三大防禦術.隔離資安威脅 9/9 (五) 13:00 PM
https://www.microsoftevents.com/profile/form/index.cfm?PKformID=0x426988fd82&wt.mc_id=AID532370_QSG_PD_EML_11468

Container Summit 2016 9/21(三)~9/22(四) 09:00~17:00
http://www.ithome.com.tw/seminar

【課程】PM2.5空氣偵測器(含顯示螢幕)實作,硬體組裝、寫 Arduino 程式、資料上傳雲端,一天學會
http://www.techbang.com/posts/45588-course-arduino-the-air-sensor-implemented

HITCON 2016 Call for Training - Terms and Conditions
http://blog.hitcon.org/2016/08/hitcon-training-en.html