Browsing: vulnerabilities

    網絡安全專家經常呼籲企業或IT管理者,有漏洞應盡快修補。長氣原因在於相關漏洞一旦曝光,黑客很快就會用作攻擊。Palo Alto Networks 一份最新安全調查報告顯示,最快 15 分鐘後便會有黑客在網上搜尋存在相關漏洞的裝置,其中一個 F5 網絡設備安全漏洞個案更在十小時內被嘗試用於二千多次攻擊,企業修補漏洞流程,真正是生死時速。 通用漏洞揭露計畫 (Common Vulnerabilities and Exposures, CVE) 是由國際非牟利組織 MITRE 所創立,CVE 專門用於收集軟硬件的安全漏洞,一經專家確認,就會為漏洞分配編號,希望有助業內人士或IT從業員翻查資料,提升安全水平。漏洞在舉報後,一般會給予 90 日時間供軟硬件開發商修正,以及待受影響企業或機構安裝修補檔案,才會將漏洞的細節公開,但如在限期內仍未能修正問題,基於漏洞同樣有可能被黑客發現及利用,因此細節亦會公開,提醒用家需注意問題及作出防範。…

    黑客其中一種常用技倆是於 Microsoft 文件檔如 DOCX 或 XLS 內植入惡意編碼,可能太多受騙個案,網民對這類檔案已有一定戒心。HP WolfSecurity 便發現近來有黑客轉為使用 PDF 發動攻擊,欺詐手法不單簡單而創新,當中還涉及一個 2017 年的已知漏洞…… HP WolfSecurity 最新發表的一份調查報告內指出,有黑客利用惡意 PDF 檔案發送資料盜竊軟件 Snake Keylogger,專家說與過往黑客較常利用…

    修補漏洞 (patching) 可說是 IT 部門最怕遇到的問題,不過單在 2021 年,NationalVulnerability Database 便錄得約 22,000 個新漏洞,而更大的問題是,供應商平均需要 60 日才能提供安全修補檔案!要減少空窗期的風險,微修補 (micropatching) 會是唯一出路? 有關漏洞的新聞已報導過很多,例如去年 Adobe 的 log4j 漏洞便對業界影響深遠,尤其是大部分軟硬件或服務供應商都未能像…

    安全漏洞一直是黑客入侵企業的主要途徑之一,如果企業持續不作修補,對漏洞不加理會,無疑是為黑客創造搵錢機會。有研究人員提醒企業,超過一半的安全漏洞已經存在五年以上,形容不作修補是非常不明智。 企業網絡中的舊安全漏洞,令企業及組織面臨勒索軟件和其他網絡攻擊的風險,因黑客會積極入侵未修補的系統。F-Secure 網絡安全研究人員的分析指出,存在於企業網絡中的 61% 安全漏洞在 2016 年或更早已出現,即使修補程式已出現了五年以上。甚至有些持續被利用來破壞網絡的漏洞已有十多年的歷史。 最常見未修補而困擾企業的漏洞是 CVE-2017-11882,與 Microsoft Office 中的一個舊內存損壞問題有關,當中包括 Office 365。該漏洞自 2000 年以來一直存在,於 2017 年被發現並提出修補。F-Secure 稱,它是其中一個 Windows…

    糾纏 8 年,一單關於視像監視系統漏洞嘅訴訟終於有結果,Cisco 答應付出 860 萬美元進行和解。今次訴訟嘅內容,原來係有承包商前僱員指控 Cisco 明知系統有漏洞但無處理,仲喺兩年半期間繼續賣出去,客戶當中仲有美國國家安全局、空軍海軍添,唔通真係咁大膽? 今次訴訟事件針對嘅軟件 Video Surveillance Manager(VSM),係由 Cisco 喺 2008 年所開發及推出,用戶可以通過呢套軟件嘅中央伺服器,去控制分散喺唔同地方嘅視像監視畫面。不過,Cisco 其中一個承包商 Net Design 嘅員工…