資安新聞及事件週報 2016/10/17 ~ 2016/10/21

1.重大弱點漏洞:
phpMyAdmin 跨站腳本漏洞 CVE-2016-6607
https://www.phpmyadmin.net/security/PMASA-2016-30/

Juniper Junos Space 安全漏洞 CVE-2016-4927
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10760&cat=SIRT_1&actp=LIST

甲骨文大舉修補253個安全漏洞,含15個重大漏洞
http://www.ithome.com.tw/news/109162

VMware Horizon View 存在安全性弱點
http://www.vmware.com/security/advisories/VMSA-2016-0015.html

Cisco 多個產品存在安全弱點
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-nxaaa
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-bgp
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20161005-otv

利用JBoss漏洞拿webshel​​l方法
http://www.cnblogs.com/firstdream/p/5973367.html

Joomla含有零時差漏洞,該漏洞會導致SQL injection
http://securityaffairs.co/wordpress/52468/hacking/jja-k2-filter-search-joomla.html

Oracle發佈2016年十月份安全更新
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html

Apache Struts 2 Convention Plugin 漏洞
https://www.auscert.org.au/render.html?it=39766

ISC BIND 9 DoS漏洞技術分析與防護方案
http://blog.nsfocus.net/isc-bind-9-dos-vulnerability-technical-analysis-protection/

Cisco Anyconnect Secure Mobility Client 2.0.0343 Gain privileges Vulnerability
http://www.securiteam.com/securitynews/6D03A15H5A.html

CVE-2016-2836 Debian Security Update for icedove (DSA 3686-1)
https://lists.debian.org/debian-security-announce/2016/msg00267.html

CentOS7 修補 OpenSSL 漏洞
http://oldgrayduck.blogspot.tw/2016/10/linuxcentos7-openssl.html

IBM Security Guardium 漏洞 CVE-2016-0247
http://www-01.ibm.com/support/docview.wss?uid=swg21990368

2.銀行資安:
台銀行業發展區塊鍊 人力需求或減1/3
https://cnews.com.tw/%E5%8F%B0%E9%8A%80%E8%A1%8C%E6%A5%AD%E7%99%BC%E5%B1%95%E5%8D%80%E5%A1%8A%E9%8D%8A-%E4%BA%BA%E5%8A%9B%E9%9C%80%E6%B1%82%E6%88%96%E6%B8%9B1%EF%BC%8F3/

抗駭客攻擊 美銀行將採用最新安全標準
http://ca.ntdtv.com/xtr/b5/2016/10/20/a1292498.html

資安問題層出不窮,包括一銀ATM遭盜領、第一金證券被駭客勒索、雅虎證實用戶資料曾遭駭客竊取等
http://www.philemon.com.tw/2016/10/blog-post_319.html

花旗三個聚焦鏡 打造責任金融
http://www.wealth.com.tw/article_in.aspx?nid=9108

印度爆發大型金融數據外洩案,320萬扣賬卡賬戶或遭盜用
https://theinitium.com/article/20161020-dailynews-india-debit-card-hack/

橘子支採實名認證 資安有隱憂嗎
http://www.chinatimes.com/realtimenews/20161020005005-260412

Dyre banking Trojan successor rears its ugly head New online banking Trojan TrickBot is believed to be a reimplementation of Dyre
http://www.computerworld.com/article/3131621/security/dyre-banking-trojan-successor-rears-its-ugly-head.html#tk.rss_news

3.資安事件新聞:
A.病毒木馬:
讓防毒解不開,勒索軟體 CryPy 每個加密檔案有各自解密金鑰
http://securityaffairs.co/wordpress/52360/malware/crypy-ransomware.html
https://securelist.com/blog/research/76318/crypy-ransomware-behind-israeli-lines/

看似 Google Play 要求上傳手持身分證的自拍照,切勿輕信
http://news.softpedia.com/news/android-trojan-asks-victims-to-submit-a-selfie-holding-their-id-card-509303.shtml

Check Point:勒索軟體Locky躍居前三大惡意程式
http://www.ithome.com.tw/news/109189

三步驟對抗勒索病毒
http://blog.trendmicro.com.tw/?p=31137

PPAP大叔出新歌了~如果病毒式影片真的有病毒該怎麼辦
http://blog.trendmicro.com.tw/?p=31300

美國資安公司警告:釣魚郵件附檔97%都是勒索軟體
http://www.ithome.com.tw/news/109169

Cerber勒索病毒新變種大量散播中,台灣是主要攻擊目標,避免中招,兩個重要提醒
http://blog.trendmicro.com.tw/?p=31221

DDoS 程式 Mirai 開始肆虐,一個月內中招 IoT 裝置急增一倍
http://technews.tw/2016/10/21/mirai-iot-botnet-increase/

PoS 端點銷售病毒:FighterPOS變種,只偷能夠跨國使用並且不強制使用晶片的信用卡
http://blog.trendmicro.com.tw/?p=31140

Mirai原始碼揭露後遺症…殭屍裝置數量增加一倍
http://www.ithome.com.tw/news/109163

瞞天過海?鎖定Magento的惡意程式將盜來的信用卡資訊藏在JPG圖檔中
http://www.ithome.com.tw/news/109135

瀏覽合法官網也會中毒?問答集一次看懂
http://www.cna.com.tw/news/ahel/201610220131-1.aspx

Hackers create more IoT botnets with Mirai source code
http://www.computerworld.com/article/3132359/security/hackers-create-more-iot-botnets-with-mirai-source-code.html#tk.rss_news

B.行動安全:
陸惡意APP竊個資 網民下載要三思
http://www.chinatimes.com/newspapers/20161016000710-260301

黑客曝光解蘋果全系列ID漏洞
https://kknews.cc/tech/qp639b.html

iPhone6被黑遭鎖定勒索 駭客叫囂沒動數據不是犯罪
http://www.mastvnet.com/news/technology/2016-10-20/news_content_114012.shtml

資安研究人員示範點樣樣在六分鐘內竊取 iPhone 內密碼等私人資訊
http://www.hkeasychat.com/thread-2195345-1-1.html

C.事件:
網易163郵箱再爆出新漏洞,可被利用獲取用戶郵箱賬號密碼
http://www.twoeggz.com/news/1987705.html

全球大半網站周末同時失聯!知名DNS遭遇DDoS猛攻,Github、CNN、Aribnb、VISA都遭殃
http://www.ithome.com.tw/news/109199

網購高風險賣場出爐 警方籲民眾小心
http://news.ltn.com.tw/news/life/breakingnews/1859713

用免費WiFi 要小心!陸網民登入不明WiFi 數十秒即傾家蕩產
http://www.epochtimes.com.tw/n185957/%E7%94%A8%E5%85%8D%E8%B2%BBWiFi-%E8%A6%81%E5%B0%8F%E5%BF%83%EF%BC%81%E9%99%B8%E7%B6%B2%E6%B0%91%E7%99%BB%E5%85%A5%E4%B8%8D%E6%98%8EWiFi-%E6%95%B8%E5%8D%81%E7%A7%92%E5%8D%B3%E5%82%BE%E5%AE%B6%E8%95%A9%E7%94%A2.html

駭客不只駭了Facebook,還開始往微信進攻
http://www.thegreatdaily.com/cat37/node1309104

駭客攻擊美資訊交換中心 推特等網站受波及
http://news.sina.com.tw/article/20161022/19091458.html

IP Cam 成窺探的工具?趕快加上密碼吧
http://technews.tw/2016/10/21/ip-cam-is-becoming-snooping-tools-add-password-protection-soon/

當駭客從孤狼變集體作戰
http://udn.com/news/story/7238/2027925

進階威脅防禦 資安業者說3A必須做到
https://www.novelfeed.com/article/t9pd85lk/%E9%80%B2%E9%9A%8E%E5%A8%81%E8%84%85%E9%98%B2%E7%A6%A6-%E8%B3%87%E5%AE%89%E6%A5%AD%E8%80%85%E8%AA%AA3a%E5%BF%85%E9%A0%88%E5%81%9A%E5%88%B0

擔心個資外洩還是商機外流
http://www.appledaily.com.tw/realtimenews/article/new/20161019/970892/

創新思維/通訊新科技 資安考驗大
http://udn.com/news/story/7244/2030232

物聯網安全攻防戰 百密一疏就可能門戶大開 網路安全標準上路,破解智慧家庭隱藏的危機!
http://www.cdnews.com.tw/cdnews_site/docDetail.jsp?coluid=112&docid=103885492

資訊系統不准動! 新型駭客網路劫財
http://a.udn.com/focus/2016/10/17/25220/index.html

遊戲產業防範分散式阻斷服務攻擊的技巧
http://blog.trendmicro.com.tw/?p=30559

涉嫌LinkedIn近1.2億帳號外洩的俄羅斯駭客在捷克就逮,美俄恐上演搶人大戰
http://www.ithome.com.tw/news/109154

CIA準備反擊俄國駭客戰 待歐巴馬同意
http://www.appledaily.com.tw/realtimenews/article/new/20161015/968655/

駭客鑽漏洞 盜售帳密淪黑色產業
http://www.chinatimes.com/newspapers/20161019001773-260301

美東網絡癱瘓11小時 遭大規模殭屍電腦攻擊
http://www.epochtimes.com/b5/16/10/22/n8421628.htm

從漏洞利用工具到零日漏洞:網絡黑市大全
https://www.taiwanfansclub.com/article-446833-1.html

堵上物聯網安全漏洞 資安標準驗證機制上路
http://www.mem.com.tw/article_content.asp?sn=1610170008

物聯網商機大 資安問題成隱憂
http://www.chinatimes.com/newspapers/20161017000096-260204

還用公司的電子郵件帳號註冊社群網站嗎? 駭客拿到你的帳密,可能發生哪些事?
http://blog.trendmicro.com.tw/?p=31689

北市府又出包 觀光網址「射自己」
http://www.appledaily.com.tw/appledaily/article/headline/20161016/37418084/

大數據時代下更需商業智慧 「以快打慢」迎戰跨領域競爭 商業智慧分析隨企業轉型 自助服務降低進入門檻
http://www.netadmin.com.tw/article_content.aspx?sn=1610050002

美國政府史上最大資料竊取事件,國安局前承包商涉嫌竊資長達20年
http://www.ithome.com.tw/news/109175

疑似中東籍駭客侵入臉書『虧本賤賣拍賣群』!
http://tianxia.thesharedaily.com/article/3964

臉書安全系統完善 專家:無需憂個人賬戶遭駭
http://wp.news365.my/?p=1698470

研究:英特爾處理器含有安全漏洞,只需60毫秒就能破解ASLR保護
http://www.ithome.com.tw/news/109187

小心!嗶一下感應付款 信用卡個資恐遭竊
http://news.tvbs.com.tw/world/680599

國際資訊:Sofacy APT組織開發新的Flash漏洞
http://www.twoeggz.com/news/2029699.html

小心! 駭客可聽音辨位竊聽Skype的鍵盤輸入
http://www.ithome.com.tw/news/109152

Vera Bradley證實支付系統遭駭 消費者多加警惕
https://www.new0.net/Vera%20Bradley%E8%AD%89%E5%AF%A6%E6%94%AF%E4%BB%98%E7%B3%BB%E7%B5%B1%E9%81%AD%E9%A7%AD%20%E6%B6%88%E8%B2%BB%E8%80%85%E5%A4%9A%E5%8A%A0%E8%AD%A6%E6%83%95-1834214.html

D.資料外洩:
Weebly 遭駭,4300萬使用者帳戶資料外洩
http://news.softpedia.com/news/weebly-confirms-data-breach-affecting-over-43-million-users-509493.shtml
https://www.leakedsource.com/blog/weebly/

印度Debit金融卡資料三百二十萬筆遭洩
http://profit.ndtv.com/news/your-money/article-worried-over-debit-card-security-heres-what-you-can-do-1476881
http://thehackernews.com/2016/10/india-debit-card-hack.html

百度雲50萬帳戶被盜 用戶雲端文件全變A片
http://tw.on.cc/cn/bkn/cnt/news/20161018/bkncn-20161018100628538-1018_05011_001.html

百度遭駭客撞庫 用戶帳密被盜賣外流
http://www.chinatimes.com/realtimenews/20161018003237-260409

柯文哲害 35 萬學童個資外洩?先搞懂「G Suite for Education」怎麼運作
http://technews.tw/2016/10/19/break-out-rumors-of-g-suite-for-education/

Salesforce 收購名單外洩,曾考慮 Adobe 而 Twitter 不在其中
http://technews.tw/2016/10/19/salesforce-leaks-consider-buying-adobe-not-twitter/

外洩郵件透露Cook及Gates曾被列入希拉蕊副手名單中
http://www.ithome.com.tw/news/109138

TAAZE網路書店疑個資外洩 大學生遭騙近3萬元
http://news.sina.com.tw/article/20161022/19090080.html

網站購書遭冒名詐騙 百餘人受害損失900萬元
http://www.chinatimes.com/realtimenews/20161022003019-260402

偷窺台女還笑Nice ass 國外24H直播台灣129支監視器
http://www.ettoday.net/news/20161021/797239.htm

E.研究報告:
資安大會
http://infosec.ithome.com.tw/Sponsorship_Prospectus_cht.pdf

由HITCON 2016一道web聊一聊php反序列化漏洞
http://www.freebuf.com/vuls/116705.html

行動App資安問題現況與檢測案例分享
http://www.mars1988.com/seminar_iii_2016/wp-content/uploads/2016/10/7.pdf

F.商業:
結合多種漏洞與惡意程式預防技術,Palo Alto進軍端點防護
http://www.ithome.com.tw/review/109147

資安訊息派送平台
http://s.itho.me/vendor/2016/gigamon/gigamon2.pdf

Windows Server 2016增添多層次安全性,強化特權帳號、OS與VM防護
http://www.ithome.com.tw/news/109034

G.政府:
「監理沙盒」一讀付委,要廣納新創業者入沙盒,最快明年初完成修法
http://www.ithome.com.tw/news/109066

防駭 財政資訊中心擬減少委外業務
http://www.appledaily.com.tw/realtimenews/article/new/20161016/969089/

財資掌門人 資安3把火
http://times.hinet.net/news/19432847

資安管理法新版草案,刪除可另行指定適用該法機關和行政檢查需司法警察陪同條文
http://times.hinet.net/news/19419800

解析雲端運算有關認驗證機制與資安標準發展
https://stli.iii.org.tw/article-detail.aspx?no=66&tp=3&i=79&d=6403

H.近期惡意郵件Title
買軟體不用去光華商場了..這裡就有了
強檔超特價狂賣中
音樂影音,強項影音素材,過來看您
第四台布袋戲免費看
安撫軍公教,年終慰問金照發
研发领导力与执行力-报名通知
打造销售队伍狼性文化的方法
【台灣商銀】重要訊息通知

I.其他:

4.近期資安活動及研討會

展望2017-政府資安趨勢論壇 2016 年 11 月 10 日 (星期四) 9:30~16:50 *
http://seminar.ithome.com.tw/live/1110egov/index.html

「無現金時代下行動支付發展趨勢與資安保護」研討會 105年10月28日(星期五),14:00至17:00
http://acad.tust.edu.tw/bin/downloadfile.php?file=WVhSMFlXTm9MekV5TDNCMFlWOHlNemd3TjE4M056WTFOak14WHpjeE5UTTRMbkJrWmc9PQ==&fname=KLRPDGOPGHB5HCUXMLSTHC55HDVTCHRP45DDFDUXMLOP01QPUT01RLQL45FDST141401STA5KLNLRLRPCDUT51EHA5IH50QPMLEDSTOPJDQPZXB5GHIHRL14HDMLDDA545RPEDUXWXZXHCOPIHOP51CH15VTCH4015RPHDOPHDST14B5HDVTGDOPCDVTNPOPMLVTGDEHUXA5HCEHCDST15VX51JHRLOPSTA545VTKLVTTWA5GHIHDG5035FDWXVTSTRPDGB5GHFDNPUXCD3150A5MLIHSXRP5101STRLUXWXKOKO

SplunkLive! 台北場 - 2016 年 11 月 2 日
http://live.splunk.com/Taipei2016?elqTrackId=98b54ebf4c9749bd808b126a194312dc&elq=64228f16907e43debbe5060d9d1e2953&elqaid=8606&elqat=1&elqCampaignId=4620

Fortinet Security 361° 研討會 2016年11月2日(三) 09:00-17:00
http://apac2016.361securityforum.com/taiwan/

DAF 2016 資安日論壇:破壞式創新衝擊下的數據防護 | 台北場 2016/10/27
http://www.digitimes.com.tw/seminar/DAF_20161027/

2016從端到雲打造微軟全新物聯零售技術與應用研討會 2016年10月26日(星期三)13:30~16:45
http://www.digitimes.com.tw/seminar/Synnex_20161026/application.asp

台灣駭客年會 HITCON 2016 Training 2016/11/27(日) 09:00 ~ 2016/11/30(水) 18:00
http://hitcon.kktix.cc/events/hitcon-training-2016

DevOps Workshop系列 11/19、11/27、12/03
http://learning.ithome.com.tw/page/DevOps_Workshop

Gigamon 研討會 : 透過無所不在的可視性提升全面資安保護 2016 年 10 月 27 日 (四) 13:30 ~ 16:35
http://seminar.ithome.com.tw/live/20161027Gigamon/index.html

資管系企業導師請益-大數據分析應用 - 社群資安訊息分析 2016/11/28 19:20:00 ~ 2016/11/28 21:10:00
http://excellent.tku.edu.tw/ExcNewsDtl.aspx?nid=5212AD2A762946A3

2017 InfoSec Conference Taiwan
http://infosec.ithome.com.tw/index_en.html

Big Data Innovation Summit - 不容錯過的大數據黃金十年 12/05(一)~12/06(二) 09:00~17:00
http://bigdataconf.ithome.com.tw/

台灣駭客年會 HITCON 2016 Pacific 2016/12/01(木) 09:00 ~ 2016/12/02(金) 18:00
http://hitcon.kktix.cc/events/hitcon-pacific-2016