【漏洞預警】Google Chrome與Microsoft Edge瀏覽器存在安全漏洞(CVE-2021-21194~21199),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新。

行政院國家資通安全會報技術服務中心

漏洞/資安訊息警訊

發布編號 NCCST-ANA-2021-0000121 發布時間 Mon Apr 19 16:57:53 CST 2021
事件類型 漏洞預警 發現時間 Mon Apr 19 00:00:00 CST 2021
警訊名稱 Google Chrome與Microsoft Edge瀏覽器存在安全漏洞(CVE-2021-21194~21199),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明 研究人員發現Google Chrome與Microsoft Edge(基於Chromium)瀏覽器存在安全漏洞(CVE-2021-21194~21199),攻擊者可藉由誘騙受害者存取特製網頁,利用此漏洞進而遠端執行任意程式碼。
影響平台 Google Chrome 89.0.4389.114 (不含)以前版本

Microsoft Edge 89.0.774.68 (不含)以前版本

影響等級
建議措施 請更新Google Chrome瀏覽器至89.0.4389.114以後版本,更新方式如下:

  1. 開啟瀏覽器,於網址列輸入chrome://settings/help,瀏覽器將執行版本檢查與自動更新
  2. 點擊「重新啟動」完成更新

請更新Microsoft Edge瀏覽器至89.0.774.68以後版本,更新方式如下:

  1. 開啟瀏覽器,於網址列輸入edge://settings/help,瀏覽器將執行版本檢查與自動更新
  2. 點擊「重新啟動」完成更新
參考資料
  1. https://www.ithome.com.tw/news/143851
  2. https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_30.html
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21194
  4. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21195
  5. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21196
  6. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21197
  7. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21198
  8. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21199
此類通告發送對象為通報應變網站登記之資安人員。若貴 單位之資安人員有變更,可逕自登入通報應變網站(https://www.ncert.nat.gov.tw)進行修改。若您仍為貴單位之資安人員但非本事件之處理人員,請協助將此通告告知相關處理人員。

如果您對此通告的內容有疑問或有關於此事件的建議,請勿直接回覆此信件,請以下述聯絡資訊與我們連絡。
地 址: 台北市富陽街116號
聯絡電話: 02-27339922
傳真電話: 02-27331655
電子郵件信箱: service@nccst.nat.gov.tw

【漏洞預警】VMware vCenter存在安全漏洞(CVE-2021-21972),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新。

行政院國家資通安全會報技術服務中心

漏洞/資安訊息警訊

發布編號 NCCST-ANA-2021-0000101 發布時間 Wed Apr 14 12:43:12 CST 2021
事件類型 漏洞預警 發現時間 Fri Mar 05 00:00:00 CST 2021
警訊名稱 VMware vCenter存在安全漏洞(CVE-2021-21972),允許攻擊者遠端執行任意程式碼,請儘速確認並進行更新
內容說明 研究人員發現VMware vCenter存在安全漏洞(CVE-2021-21972),遠端攻擊者可使用vSphere客戶端軟體(HTML5)藉由埠號443發送特製請求連線,利用此漏洞進而執行任意程式碼。
影響平台 漏洞影響平台版本如下:

vCenter Server 7.0版本至7.0U1c版本(不包含)

vCenter Server 6.7版本至6.7U3l版本(不包含)

vCenter Server 6.5版本至6.5U3n版本(不包含)

Cloud Foundation (vCenter Server) 4.0版本至4.2版本(不包含)

Cloud Foundation (vCenter Server) 3.0版本3.10.1.2版本(不包含)

影響等級
建議措施 VMware官方已發布平台修補版本並提供解決方案,請各機關聯絡設備維護廠商或參考以下網址進行更新:

  1. https://www.vmware.com/security/advisories/VMSA-2021-0002.html
  2. https://kb.vmware.com/s/article/82374
參考資料
  1. https://www.vmware.com/security/advisories/VMSA-2021-0002.html
  2. https://www.ithome.com.tw/news/142930
  3. https://blogs.juniper.net/en-us/threat-research/cve-2021-21972-vmware-vcenter-unauthorized-remote-code-execution
此類通告發送對象為通報應變網站登記之資安人員。若貴 單位之資安人員有變更,可逕自登入通報應變網站(https://www.ncert.nat.gov.tw)進行修改。若您仍為貴單位之資安人員但非本事件之處理人員,請協助將此通告告知相關處理人員。

如果您對此通告的內容有疑問或有關於此事件的建議,請勿直接回覆此信件,請以下述聯絡資訊與我們連絡。
 址: 台北市富陽街116
聯絡電話: 02-27339922
傳真電話: 02-27331655
電子郵件信箱: service@nccst.nat.gov.tw

【資通安全】Windows 10 1909下個月支援終止,請學校記得更新 Windows 10 版本。

請學校記得更新 Windows 10 版本。

Windows 10 1909下個月支援終止

所有1909版本Windows 10,包括Home、Pro、Pro for Workstation及Pro Education,以及Windows Server 1909的技術支援,將在5月11日到期.

才不過4個月前Windows 10 1903因終止支援才被迫升級到1909,現在1909版也即將在5月進入支援的生命周期終點。

根據微軟排定的時程,所有1909版本Windows 10,包括Home、Pro、Pro for Workstation及Pro Education,以及Windows Server 1909將在5月11日支援到期,此外1809版Windows 10 Enterprise、Education版、以及Windows 10 1803電腦及Server版,也會於同一天終止技術支援。

微軟提醒,一旦技術支援到期,雖然電腦還是可以運作,但因再也無法接收到安全及品質更新,遭受安全風險及病毒的風險將提高。

Windows 10 1909 Education及Enterprise版的技術支援期間則多一年,於2022年5月11日到期。

微軟今年2月宣布Windows 10 2004版再擴大經由Windows Update釋出給用戶。另一方面,3月間部分舊版Windows 10 PC也被強迫更新到20H2(即2009)。最新版更新21H1則預期在4或5月釋出。

【資訊安全】2021年第一季臺灣三大熱門騙術:「投資型詐騙」、「釣魚簡訊詐騙」以及「假貼圖詐騙」

2021年第一季臺灣三大熱門騙術分別是:「投資型詐騙」、「釣魚簡訊詐騙」,以及「假貼圖詐騙」等三種,其中,投資型詐騙造成民眾的財務損失將近3億元,是造成民眾損失最大的詐騙類型。

投資型詐騙:

主要是透過不明網站、臉書或是私人Line群組招募方式,提供民眾各種「快速獲利」的機會來進行詐騙,而「快速獲利」的手法包括:假冒名人的加密貨幣詐騙,詐騙集團會創立有名人圖像的假網站,或者以網路新聞方式,吸引民眾投資目光,其中便有假冒特斯拉執行長伊隆馬克思之名,吸引民眾投資加密貨幣可以快速短期獲利;其他還有吸引民眾可以進行港股投資的詐騙,以及邀請民眾下載接單App後,民眾可以接單賺錢,並吸引民眾在儲值投資後,最後卻無預警關閉,民眾求助無門。

釣魚簡訊詐騙:

假冒國泰、台新等知名銀行,發送大量釣魚簡訊詐騙,傳送內含假銀行登入網站連結的簡訊給民眾,誘使民眾從簡訊連結,登入仿真度極高的假網銀頁面後,當民眾不疑有他,輸入個人網銀的帳號、密碼以及OTP簡訊驗證密碼時,詐騙集團同時間,就會在假銀行登入頁面的後臺,取得民眾的帳號、密碼,以及OTP簡訊驗證密碼,就會以民眾真正的帳號、密碼以及OTP簡訊驗證密碼,登入真正銀行網頁進行轉帳,先前便有不少民眾受害。而內政部警政署統計,相關案件達70多起,受害金額超過900萬元。

建議做法: 民眾登入網銀頁面應該要從官方網站登入外,也可以試著在登入網銀頁面點選其他的選項,確認是否可以點選,畢竟,通常假網銀頁面只有輸入資料的選項是可以正常輸入以外,其他的頁面都是假的、無法點選或輸入的。

假貼圖詐騙:

最受歡迎的詐騙手法之一,以今年第一季的統計,光是「LINE卡通明星歡喜來拜年」的假貼圖轉傳次數就將近7,500次。更值得注意的是,這類詐騙往往是詐騙集團的前置作業,當這類假貼圖詐騙要求民眾加入詐騙的Line帳號後,詐騙集團也會透過變更使用者頭像和名稱的方式,偽裝成熟人,對民眾進行第二次詐騙。

上述三種詐騙手法都會對民眾造成很大的金錢損失,他認為,民眾應該要提高警覺,首先,

第一:不要輕易點擊包關簡訊或電子郵件中的不明連結,盡量使用瀏覽器中的書籤頁面進入敏感網站。

第二:敏感網站的帳號、密碼應該要定期更換,且不要與一般免費註冊網站使用相同帳號、密碼。

第三:手機顯示的號碼不一定正確,遇到有金融轉帳要求時,需要回撥確認。

第四:使用的軟體或作業系統都應該更新到最新版本,以避免駭客可以利用漏洞入侵。

第五:遇到金融詐騙事件時,應該要撥打165反詐騙專線報案;最後,建議民眾可以安裝一些防詐騙的App或是聊天機器人,協助確認網址或資訊的正確性,降低遭到詐騙的風險。

資料來源: https://www.ithome.com.tw/news/143700