資安新聞及事件週報 2016/09/26 ~ 2016/09/30

1.重大弱點漏洞:
Internet Systems Consortium(ISC)發布BIND的安全更新,部分漏洞可能導致阻斷服務攻擊
http://www.cert.org.tw/twcert/advdetail/3344

D-Link DWR-932 B遭爆有約20個安全漏洞,研究人員:別用了
http://www.ithome.com.tw/news/108741

swagger高危漏洞影響Java、PHP、NodeJS和 Ruby等語言
https://www.taiwanfansclub.com/article-405880-1.html?mod=view&aid=405880&page=1&

macOS Server、macOS Sierra、Safari與iCloud for Windows.存在多個弱點
https://support.apple.com/en-us/HT207171

Firefox、Firefox ESR 存在安全性弱點
https://www.mozilla.org/en-US/firefox/45.4.0/releasenotes/

VMware 多個產品存在安全性弱點
http://www.vmware.com/security/advisories/VMSA-2016-0014.html

Cisco IOS 及 IOS XE 產品多個漏洞 CVE-2016-6414 CVE-2016-6409 CVE-2016-6412 CVE-2016-6410
https://bst.cloudapps.cisco.com/bugsearch/bug/BUGID

思科揭露遭駭客工具鎖定的第二個零時差漏洞
http://times.hinet.net/news/19309790

Check Point披露Facebook聊天應用程序存在漏洞
http://www.w2bc.com/article/175760

Apache Ranger create user 漏洞(CVE-2016-5395)
https://cwiki.apache.org/confluence/display/RANGER/Vulnerabilities+found+in+Ranger

EMC ViPR SRM 漏洞(CVE-2016-6647)
https://support.emc.com/downloads/34247_ViPR-SRM

ORACLE ENTERPRISE LINUX SECURITY UPDATE FOR THUNDERBIRD (ELSA-2016-1809)
http://www.0daybank.org/?p=1396

ORACLE ENTERPRISE LINUX SECURITY UPDATE FOR OPENSSL (ELSA-2016-1940)
http://www.0daybank.org/?p=1883

OPENSUSE SECURITY UPDATE FOR WGET (OPENSUSE-SU-2016:2284-1)
http://www.0daybank.org/?p=1748

HTTP STRICT TRANSPORT SECURITY (HSTS) SUPPORT DETECTED
http://www.0daybank.org/?p=1669

CISCO IOS IOX COMMAND INJECTION VULNERABILITY (CISCO-SA-20160921-IOX)
http://www.0daybank.org/?p=1402

AMAZON LINUX SECURITY ADVISORY FOR TOMCAT7: AL2012-2016-147
http://www.0daybank.org/?p=1404

2.銀行資安:
又被駭客盯上?第一金:將強化防火牆
http://udn.com/news/story/6/1980723

第一金證券遭駭客勒索 交易系統被攻擊
http://www.cnabc.com/news/aall/201609230076.aspx

一銀強化資安 斥資逾千萬元顧問費
http://www.appledaily.com.tw/realtimenews/article/finance/20160924/955255/papersec_right

證交所簡立忠:券商交易系統正常已請加強資安
http://m.match.net.tw/pc/news/local/20160923/3737056

一銀資安補破網 關貿網:別治標不治本
http://pchome.megatime.com.tw/news/cat2/20160924/9800000000046260202.html

關貿網路公司澄清: 未對特定廠商作資安評論
http://www.chinatimes.com/realtimenews/20160926005109-260410

要靠數據尋找分行營運新機會,玉山資料科學團隊經驗大公開
http://www.ithome.com.tw/news/108614

老行庫強化資安 全面啟動
http://www.chinatimes.com/newspapers/20160927000127-260205

金管會領軍防駭 全面備戰
http://www.chinatimes.com/newspapers/20160924000045-260202

SWIFT:鎖定金融業的網路攻擊增多,光今年夏天就有3起
http://www.ithome.com.tw/news/108680

Fintech與行動化應用時代下的防護新思維
http://www.ithome.com.tw/guest-post/108015
3.資安事件新聞:
A.病毒木馬:
臉書出現布萊德彼特死訊連結,用戶切勿點選
http://www.cna.com.tw/news/firstnews/201609280013-1.aspx

著名的惡意商業軟體iSpy新變種(V3.x),擁有更複雜的新惡意功能
http://securityaffairs.co/wordpress/51513/malware/ispy-commercial-keylogger.html 

勒索軟件最新出品:虛假手機解鎖畫面、全面進行雙鎖營幕攻擊
http://sina.com.hk/news/article/20160928/5/42/49/%E5%8B%92%E7%B4%A2%E8%BB%9F%E4%BB%B6%E6%9C%80%E6%96%B0%E5%87%BA%E5%93%81-%E8%99%9B%E5%81%87%E6%89%8B%E6%A9%9F%E8%A7%A3%E9%8E%96%E7%95%AB%E9%9D%A2%E5%85%A8%E9%9D%A2%E9%80%B2%E8%A1%8C%E9%9B%99%E9%8E%96%E7%87%9F%E5%B9%95%E6%94%BB%E6%93%8A-6360167.html

已從中毒電腦移除,還能再度感染系統 ! Crysis 透過暴力破解遠端桌面協定(RDP)散播
http://blog.trendmicro.com.tw/?p=30149

ATM 提款機自動吐錢 ! 剖析Ripper提款機惡意軟體
http://blog.trendmicro.com.tw/?p=30144

如何阻止勒索病毒滲透企業網路和在內部蔓延
http://blog.trendmicro.com.tw/?p=29626

RANSOM_MILICRY.A 勒索軟體透過瀏覽可疑網站進行感染
http://about-threats.trendmicro.com/Malware.aspx?language=tw&name=RANSOM_MILICRY.A

B.行動安全:
駭客宣稱,他們在24小時成功破解iPhone 7
http://life.ettoday.net/article/780551-367.htm

iOS 10 出現資安大漏洞!破解速度竟能比破解 iOS 9 還快上 2,500 倍
http://technews.tw/2016/09/27/new-ios-10-security-flaw-makes-it-easier-to-crack-iphone-backups/

iOS 10 備份容易被駭的問題快將解決
http://chinese.engadget.com/2016/09/28/apple-to-fix-ios-10-backup-security/

WhatsApp 推出重大更新!修正 iOS 10 版本兼容重大漏洞
https://www.newmobilelife.com/2016/09/27/whatsapp-2-16-11-update/

行動裝置勒索病毒:Android 勒索病毒威脅成長 15 倍
http://blog.trendmicro.com.tw/?p=30286

Apple 會記下你的 iMessage 聯絡資訊,並有可能與警方分享
http://chinese.engadget.com/2016/09/29/apple-logs-imessage-contacts-could-share-with-police/

C.事件:
企業該如何掌握網路威脅情資,以有效阻擋惡意攻擊
http://www.ithome.com.tw/tech/108544

威脅情報應用解決方案總覽
http://times.hinet.net/news/19313987

企業資安進入情報戰時代
http://www.ithome.com.tw/article/108546

OpenSSL修補可引發DoS攻擊的OCSP安全漏洞
http://www.ithome.com.tw/news/108664

Google釋出兩項CSP安全工具以防範XSS攻擊
http://www.ithome.com.tw/news/108712

沃通與StartCom憑證信用破產,遭Mozilla自信賴名單中剔除
http://www.ithome.com.tw/news/108698

攻擊手法轉型隱匿低調 凸顯SIEM分析平台重要性 彙整與分析情資 助資安獵人掌握攻擊蹤跡
http://www.netadmin.com.tw/article_content.aspx?sn=1609090002

現在才老實說?雅虎官方證實,有超過 5 億名用戶帳號資料早於2014年被盜走
http://www.techbang.com/posts/46339-yahoo-confirmed-that-there-are-more-than-500-million-users-account-data-stolen

針對史上最大宗5億筆帳號被盜一事,台灣Yahoo奇摩聲明僅表示「電商相關部分不受影響」
http://www.techbang.com/posts/46350-yahoo-kimo-statement

史上最大DDoS攻擊來襲, 逾14萬台網路攝影機帶來近1Tbps的巨量攻擊
http://www.ithome.com.tw/news/108660

駭客為何攻擊物聯網?這調查告訴你
http://www.cna.com.tw/news/afe/201609260173-1.aspx

向IS洩密 駭客被美判刑20年
http://www.chinatimes.com/realtimenews/20160924001061-260408

微軟開始預覽雲端版模糊測試服務Project Springfield
http://www.ithome.com.tw/news/108710

駭客組織「匿名者」要求輔大道歉 否則癱瘓網路系統、公布教職員個資
http://www.storm.mg/article/169873

信箱出現USB隨身碟,切勿好奇使用
http://securityaffairs.co/wordpress/51633/cyber-crime/usb-drives.html

騰訊挑戰Model S 揭Tesla安全漏洞
http://hk.on.cc/hk/bkn/cnt/finance/20160923/bkn-20160923185019391-0923_00842_001.html

交叉驗證進行影像鑑識偵測 查行動惡意程式藏身圖檔源頭 手機傳圖果真能藏病毒 用鑑識軟體追溯惡意影像
http://www.netadmin.com.tw/article_content.aspx?sn=1609100011

這個網軍紅了!安全機構抓到中國解放軍駭客真身,發表86頁鉅細靡遺肉搜報告
http://www.buzzbooklet.com/card/633932/%E9%80%99%E5%80%8B%E7%B6%B2%E8%BB%8D%E7%B4%85%E4%BA%86%EF%BC%81%E5%AE%89%E5%85%A8%E6%A9%9F%E6%A7%8B%E6%8A%93%E5%88%B0%E4%B8%AD%E5%9C%8B%E8%A7%A3%E6%94%BE%E8%BB%8D%E9%A7%AD%E5%AE%A2%E7%9C%9F%E8%BA%AB%EF%BC%8C%E7%99%BC%E8%A1%A886%E9%A0%81%E9%89%85%E7%B4%B0%E9%9D%A1%E9%81%BA%E8%82%89%E6%90%9C%E5%A0%B1%E5%91%8A

駭客型態 KPMG:單兵型走向組織化
http://news.ltn.com.tw/news/business/breakingnews/1841124

資安不該是創新的代價
http://www.netadmin.com.tw/article_content.aspx?sn=1609260001

D.資料外洩:
中國年輕駭客竊個資 QQ上變現
http://www.chinatimes.com/realtimenews/20160928004302-260409

E.研究報告:
Safari UXSS漏洞分析(CVE-2016-4758)
http://paper.seebug.org/53/

Android漏洞CVE-2015-3825分析及exploit實戰:從Crash到劫持PC
http://www.freebuf.com/vuls/115352.html

面對0-day漏洞,你的MySQL中招沒
http://www.weixinduba.com/n/325784

F.商業:
IDC:UTM帶動需求,第2季資安設備出貨成長15.2%
http://www.ithome.com.tw/news/108689

Check Point網頁安全閘道提供SaaS應用程式導向措施,限定使用者只能執行公務帳號
http://www.ithome.com.tw/review/108526

和沛雲端儲存服務平台三方案防勒索 誘餌欺瞞術化被動為主動 行為偵測立即阻斷同步 ArkEase Pro強化安全管控
http://www.netadmin.com.tw/article_content.aspx?sn=1609260002

G.政府:
政府機房新目標:4年挑戰PUE值從2降到1.6
http://times.hinet.net/news/19318415

資安處預計10月中將資安管理法提報政院,最晚11月送立院審查
http://www.ithome.com.tw/news/108657

資安管理法草案正式對外徵詢意見,網友10月5日前可到眾開講表態
http://times.hinet.net/news/19326491

政院:加強資安防護 因應新科技犯罪
http://www.cna.com.tw/news/aipl/201609290439-1.aspx

H.其他:
全球熱議的「資安」議題,每天使用3C產品的你,還能不在乎嗎
http://120k.com.tw/%E5%85%A8%E7%90%83%E7%86%B1%E8%AD%B0%E7%9A%84%E3%80%8C%E8%B3%87%E5%AE%89%E3%80%8D%E8%AD%B0%E9%A1%8C%EF%BC%8C%E6%AF%8F%E5%A4%A9%E4%BD%BF%E7%94%A8%E9%9B%BB%E8%85%A6%E7%9A%84%E4%BD%A0%EF%BC%8C%E9%82%84/

4.近期資安活動及研討會

HITCON TALK - 金融資安研討會 2016/10/05(水) 13:00 ~ 17:00
http://hitcon.kktix.cc/events/hitcontalk20161005

ISDA 白帽菁英入門〈1+2〉1015
https://reg.shield.org.tw/info.php?no=6

HPE自適應備份與復原產品說明會 10/7(五) 14:00– 15:50
http://seminar.ithome.com.tw/live/1007hpe/index.html

SplunkLive! 台北場 - 2016 年 11 月 2 日
http://live.splunk.com/Taipei2016?elqTrackId=98b54ebf4c9749bd808b126a194312dc&elq=64228f16907e43debbe5060d9d1e2953&elqaid=8606&elqat=1&elqCampaignId=4620

資管系企業導師請益-大數據分析應用 - 社群資安訊息分析 2016/11/28 19:20:00 ~ 2016/11/28 21:10:00
http://excellent.tku.edu.tw/ExcNewsDtl.aspx?nid=5212AD2A762946A3

CYBER DEFENSE EXERCISE WORKSHOP 推廣活動資訊
https://cdx.nchc.org.tw/activity.php

2017 InfoSec Conference Taiwan
http://infosec.ithome.com.tw/index_en.html