漏洞修補
」 漏洞 刪除
蘋果AirPlay有安全漏洞!電視、喇叭恐遭駭客入侵
資安研究人員發現蘋果AirPlay協定及 AirPlay軟體開發套件(SDK)有一組重大漏洞,可讓攻擊者在不與用戶互動下,遠端接管蘋果和第三方裝置包含智慧電視、機上盒、喇叭、CarPlay等等。資安專家建議應該儘速更新設備軟體,或完全停用。據外媒報導,資安業者Oligo最新報告指出,發現一組名為「AirBorne」的AirPlay漏洞,只要駭客能連線同一組Wi-Fi網路,就能遠端傳送惡意程式碼,可能被用來執行遠端程式、存取控制清單、繞過與使用者的互動、任意存取本地端檔案、外洩敏感資訊、中間人攻擊,以及服務阻斷攻擊,甚至經由麥克風竊聽對話。AirPlay是蘋果所開發的無線通訊協定,可在相容的裝置之間傳送多媒體串流、螢幕畫面,以及相關的元資料,不管是iPhone、iPad、Mac、HomePod或Apple TV等蘋果裝置都支援AirPlay,透過SDK支援AirPlay的第三方裝置,則涵蓋了多個品牌的智慧電視與喇叭等。Oligo技術長強調,全球Airplay使用的裝置實在太多,有些裝置甚至根本從不下載修補程式,倘若遭到入侵,恐怕要花好幾年時間修復,甚至完全不會執行漏洞修補。Oligo建議使用者用戶最好儘速升級到最新版本,在不使用的情況下直接禁用AirPlay接收器,此外也可以實作防火牆規則,或將AirPlay許可權設定為「僅現有用戶」以降低感染風險。
微軟更新後現神秘「inetpub」資料夾 官方親揭這用途:勿刪除
微軟(Microsoft)今年4月釋出Windows安全更新,用戶安裝後會自動在C槽根目錄建立一個名為「inetpub」的空資料夾,雖然多數使用者並未啟用與檔名相關的網頁伺服器功能(IIS),但該資料夾仍存在,因此引發廣泛討論。對此,微軟證實該項行為屬於「刻意設計」,並強調用戶不應將該資料夾刪除,以免增加電腦漏洞風險。綜合外媒報導,「inetpub」資料夾原本用於儲存網站與網頁應用資料,僅在啟用IIS(Internet Information Services)時才會出現。不過包括Windows 10、11 用戶在內,近期於安裝KB5055523累積更新後,系統即便未開啟IIS,也會由系統帳戶自動建立該空資料夾。微軟說明,此項更動與CVE-2025-21204安全漏洞修補有關。該漏洞涉及Windows更新堆疊中處理「連結跟隨」的不當行為,可能讓本機低權限使用者藉由符號連結欺騙系統,取得或修改原本不應被存取的檔案。若未修補,駭客可能以系統權限進行未授權操作。為了提升系統防禦能力、降低安全風險,微軟藉由建立inetpub資料夾,重構更新機制中的部分權限配置,並強調即便使用者沒有啟用IIS,「這個資料夾仍屬於保護機制的一部分,請勿刪除。」就有用戶測試手動刪除該資料夾後,雖然沒有立即出現問題,但微軟警告,若在更新部署前自行建立 C:\inetpub資料夾,反而可能導致安裝失敗,建議不要任意更動。若用戶誤刪,可在「Windows 功能」中啟用IIS,再解除安裝,即可讓系統重新建立與更新產生之相同擁有權與保護的資料夾。除了資料夾異動,4月的KB5055523更新也伴隨多項已知問題,包括安裝後部分裝置出現Windows Hello臉部辨識與輸入PIN密碼後登入失效、Citrix應用與Roblox無法正常執行等錯誤,微軟已著手調查與修正。至於其他更新細節與技術說明,則可參閱微軟官方支援文件及CVE公告。微軟提醒,未來若出現類似安全設計調整,建議使用者避免手動刪除系統新增項目,以免影響整體保護機制。
立院刪凍總統府預算達七成三 發言人:癱瘓國家運作
立法院20日晚間正逐條表決總預算,從10點多開始,預計21日凌晨一點到一點半,即將提案表決總統府總預算。總統府發言人郭雅慧在臉書表示,總統府的114年業務費預算,被刪除與凍結的比例,足足有七成三。她指出,負責公眾訊息發布溝通的公共事務室首當其衝,預算全數被刪凍。未來舉行記者會,將難以透過LINE@向國人預告舉行時間,無法及時影音直播,字幕與手語等聽語障者的無障礙服務也被迫減少或取消。郭雅慧表示,立院刪凍預算,影響的不只是民眾快速、完整知曉國家重大政策的權利。還有攸關國家安全的總統府資訊安全與設備維護,也脆弱化。在野黨一口氣刪除凍結2千萬。她進一步指出,資安就是國安,總統府向來是駭客攻擊的重點。以去年來說,總統府平均每個月遭遇近700萬次駭客網攻,是「每個月」將近700萬次!因此,資安工作當然是總統府重中之重,總統府上上下下有近50套業務資訊系統,若無法即時維護與資安漏洞修補,將造成防護功能失效,這是資安問題,更是國安問題。另外影響的,還有國務機要費,國務機要費已經連續11年編列3千萬;過去11年,歷經不分政黨的總統,立法院都尊重總統職權而沒有刪除或凍結。不過,這次國務機要費被刪除加凍結,總共就是3千萬。也就是說,全數被刪凍。郭雅慧說,這筆錢,不是用在總統身上,而是近6成用在犒賞辛苦執勤的軍警和總統府員工,4成用於弱勢團體、社福機構贈禮,也有部分使用於急難緊急慰問。還有,總統府日常運作也受影響。由於水電費刪減,郭雅慧說,府內要摸黑接見國際訪賓嗎?贈禮儀式從簡省略?211營弟兄辛苦守護總統府安全,回營區無熱水可用?來自全球的旅客參觀總統府卻灰暗無燈?夜裡古蹟牆面不再點亮,漆黑矗立於凱達格蘭大道車流中?她強調,理性的監督是立法院的職責,但總預算審查,不該癱瘓國家運作。這次立法院刪凍總統府總預算,郭雅慧說,將造成六大影響一、資訊系統無法即時維護與漏洞修補,造成防護功能失效。二、影響舉辦國家重要慶典及接待訪賓,貽笑國際。三、展場將無法正常開放舉民眾參觀,志工無法服勤。四、古蹟建築修繕維護難進行,國定古蹟有安全疑慮,違文資法。五、水電無法正常供應,室內昏暗影響辦公,211營官兵值勤後缺水電盥洗,影響基本生活所需。六、公共事務發佈預算緊縮,影響民眾知曉國家重大政策權利。總統府114年業務費預算數3億5,232 萬5千元,遭減列3,905 萬元、凍結2億1,929萬3千元,減凍數共2億5,834萬3千元,占預算數 73.3%。
新系統有攻擊漏洞 蘋果二次發佈「快速安全回應」搶修iOS
由於目前現行最新iOS系統內有漏洞,可以被駭客用於遠端攻擊。目前蘋果已於11日向全球用戶推送iOS 16.5.1(a)「快速安全回應」更新,呼籲所有用戶趕快安裝,以便修補漏洞。根據蘋果官網資料顯示,這次iOS/iPadOS 16.5.1(a)「快速安全回應」更新,其主要是修補代號為 CVE-2023-37450的WebKit 漏洞,駭客只要使用該漏洞,就能在目標裝置內啟動任意程式碼,進而操控用戶的手機或是平板。值得一提的是,「快速安全回應」是蘋果在iOS 16之後才推出的更新模式,其最主要的目的就是在發現安全性漏洞時,可以快速地釋出小版本的漏洞修補程式,不用再像過去要用戶下載超大的更新檔案。而這次也是蘋果第二次釋出快速安全回應,檔案大小只有少少的1.4Mb。
Windwos新漏洞「涵蓋全版本」 駭客短時間「搶走你電腦」
微軟旗下的作業系統Windows近期爆出最新的零時差漏洞,只要駭客取得擁有部分登入全的用戶帳號,就可以透過這個漏洞將自己升級為電腦管理員,進而在短時間內掌控目標電腦。而這個漏洞涵蓋所有版本的Windwos作業系統,其中也包含現行熱門的Windwos 11、Windows 10與Windows Server 2022。綜合外媒報導指出,資安人員Abdelhamid Naceri先前發現微軟作業系統中存在有Windows Installer的權限擴張漏洞「CVE-2021-41379」,經過研究後認為,透過CVE-2021-41379可以更新的方式,讓有心人士取得電腦的最高管理權限。Abdelhamid Naceri在發現後就依照慣例提交給微軟,而微軟也在11月9日發布相關修補程式。但後來Abdelhamid Naceri研究後,發現微軟所發布的CVE-2021-41379漏洞修補程式並沒有妥善修補,事實上,在11月9日發布的更新程式中總共修補了55個安全漏洞,CVE-2021-41379僅被列為「重要漏洞」而非「重大漏洞」或是「零時漏洞」。再加上微軟降低了給予Abdelhamid Naceri的抓漏獎金。認為自己的發現沒有受到微軟重視的Abdelhamid Naceri,就在22日釋出了概念性驗證攻擊程式。Abdelhamid Naceri所發布的軟體,可以繞過9日微軟發布的更新,依循同樣的漏洞對電腦展開攻擊。國外媒體實際測試的情況下,也證實只需要幾秒鐘的時間,就可以將手上僅有訪問權限的使用者帳號,提升至擁有系統管理員權限的管理者帳號。而對於Abdelhamid Naceri的行為,其實也有不少資安人員有所共鳴,他們也紛紛抱怨微軟對於抓漏獎金的隨意調整,甚至大幅度的降低獎金金額。而隨著Abdelhamid Naceri的概念性攻擊軟體釋出後,思科Talos資安團隊就在23日發現已經有駭客使用該漏洞打造的攻擊程式樣本。思科Talos資安團隊表示,目前看到的軟體偏向是實驗性質,推測應該是有駭客團體打算在測試與調整後,進行大規模的攻擊。
工業物聯網新危機 企業無法停機修補關鍵漏洞暴露被攻擊的成本
資安大廠趨勢科技一份針對4G/5G企業專用網路所面臨的新興威脅點出7個駭客可能入侵核心 4G/5G 網路的重要破口,駭客可經由攻擊智慧製造環境中的工業控制系統來竊取機敏資訊、破壞生產線,或者向企業勒索,更嚴重的是許多企業都陷入無法承擔停機修補關鍵系統漏洞的成本,所以只好冒著漏洞遭到攻擊風險的困境。這份「來自 4G/5G 核心網路的攻擊:工業物聯網在已遭入侵的園區網路內的風險」的研究報告顯示,製造業正走在工業物聯網 ( IIoT) 的應用潮流上,隨著5G興起,5G 無遠弗屆的連網能力將大幅提升其速度、安全與效率,但也帶來新的威脅,其中最值得注意的就是許多企業都陷入無法承擔停機修補關鍵系統漏洞的成本,所以只好冒著漏洞遭到攻擊風險的困境。報告提出7個駭客可能入侵4G/5G網路的破口,駭客一旦經由破口進入核心網路,就能在網路內橫向移動並試圖攔截或篡改網路封包,包括執行核心網路服務的伺服器:攻擊這些標準商用x86架構伺服器的漏洞和強度不足的密碼、虛擬機器 或容器:若未套用最新修補更新就可能成為破口。網路基礎架構:修補更新經常忽略了網路硬體裝置也需要修補。基地台:這些裝置同樣含有韌體,因此也不時需要更新。趨勢科技模擬11種攻擊情境,其中破壞力最強的是攻擊 IT 和現場工程師經常使用的微軟遠端桌面協定(RDP),由於升級5G並不會讓 RDP 流量自動獲得保護,成為駭客藉此下載惡意程式或勒索病毒,甚至直接挾持工業控制系統。趨勢建議,企業專用行動網路的建置,不僅牽涉到終端使用者,更牽涉其他單位,此外,企業專用4G/5G行動網路屬於大型基礎架構,而且使用壽命很長,所以一旦建置之後就很難汰換或修改。因此,有必要一開始就內建資安防護,在設計階段就預先找出及預防可能的資安風險。
R.I.P大限將至! Flash Player 12月31日正式劃下句點
Flash Player即將謝幕!Adobe即將在12月31日終止支援Flash Player,而明年1月1日起,用戶不會再獲得任何功能及漏洞修補程式,明年1月12日Adobe也將封鎖Flash內容,並呼籲用戶刪除Flash Player,才不會有資安疑慮。Adobe 本周再次提醒用戶12月31日是Flash Player產品生命周期終點(End of Life, EOL),會在當天之前發出警告,呼籲用戶從電腦上移除,當Flash Player的EOL日一到,不但不會再提供功能和安全更新,也會從網站上移除所有Flash Player的下載連結。Adobe還計畫從2021年1月12日起,就會封鎖Flash Player播放的內容,之後,即使用戶想用「有漏洞的Flash Player」來看影片也無法做到。根據《InfoWorld》報導,Adobe公司之所以會這麼堅決讓Flash Player「下台一鞠躬」,原因是這幾年Flash Player已經成為駭客和惡意程式設計者的下手目標。由於Flash Player漏洞太多,加上HTML5、WebGL及WebAssembly,功能都能取代,主要瀏覽器,像是微軟的IE/Edge、Google Chrome、Mozilla Firefox、Apple Safari都早就預設不啟用,微軟則已經確認Windows 10的下一次更新將自動刪除Flash Player。