一月 2021
 123
45678910
11121314151617
18192021222324
25262728293031

彙整

【資安警訊】於 QNAP NAS 發現一個漏洞,遠端攻擊者可利用這漏洞,於目標系統觸發遠端執行任意程式碼。

轉知學校有使用QNAP NAS,記得要去更新。 QNAP NAS 遠端執行程式碼漏洞 於 QNAP NAS 發現一個漏洞,遠端攻擊者可利用這漏洞,於目標系統觸發遠端執行任意程式碼。

受影響之系統或技術

QTS 4.5.1.1456 build 20201015 之前的版本

QuTS hero h4.5.1.1472 build 20201031 之前的版本

資料來源: https://www.qnap.com/zh-tw/security-advisory/qsa-21-01

【資安警訊】安全廠商Qualys研究人員發現類Unix作業系統常用的Sudo程式,存在一個權限升級漏洞,在預設Sudo組態情況下,任何人都能取得主機上的根執行權限。

(轉知)學校有使用Linux相關版本系統,請記得進行更新。 安全廠商Qualys研究人員發現類Unix作業系統常用的Sudo程式,存在一個權限升級漏洞,在預設Sudo組態情況下,任何人都能取得主機上的根執行權限。

Sudo是一種工具程式,用於各種類Unix作業系統,包括BSD、Mac OS X以及GNU/Linux,允許一般使用者以另一人的根權限來執行程式。

Qualys研究人員發現的漏洞屬於Sudo的堆積(heap-based)緩衝溢位漏洞,編號CVE-2021-3156。它在本機用戶傳送sudoedit -s及以單反斜線(\)結尾的指令行參數開採,任何本機使用者(包括一般使用者和系統使用者、sudoer或非sudoer)在未經驗證(即無需知道密碼)都能輕易完成。成功開採可造成權限擴張,無權限的本機用戶因此取得主機根權限,可能危及資料隱私或導致系統被變更或無法使用。這項漏洞CVSS 3.1風險評分達7.0,屬中高度風險。

這項漏洞從2011年7月就存在,等於公開將近10年,這個漏洞影響所有從1.8.2到1.8.31p2的舊版本,及從1.9.0到1.9.5p1的穩定版本。

Qualys研究人員發展了數個概念驗證攻擊程式,並且成功在Ubuntu 20.04 (Sudo 1.8.31)、Debian 10 (Sudo 1.8.27)和Fedora 33 (Sudo 1.9.2)上,取得完整根權限。而其他Linux版本和作業系統,可能也同樣曝險。

安全公司於今年1月中發現後,通報Sudo的開發維護單位。Sudo已在本周完成修補。

Red Hat、SUSE、Ubuntu和Debian也分別發布安全公告,呼籲用戶儘速升級到最新版本的Sudo套件。根據Red Hat公告,這項漏洞除了影響Red Hat Enterprise Linux 5-8版外,也影響Red Hat OpenShift Container Platform 4.x版。

RedHat: https://access.redhat.com/security/cve/CVE-2021-3156

Ubuntu: https://ubuntu.com/security/CVE-2021-3156

資料來源: https://www.ithome.com.tw/news/142469

【資安警訊】學校郵件部份請使用者多多留意,別點來路不明的信件(雖然釣魚信件越做越相似)。

(轉知)學校郵件部份請使用者多多留意,別點來路不明的信件(雖然釣魚信件越做越相似)。

在駭客組織Earth Wendigo發動的網路釣魚攻擊中,他們寄送如圖中的信件,讓誘使收信人上當。這乍看之下是Google的異常存取警告信,不過一旦收信者按下了「立即檢查」按鈕,他的電子郵件信箱的簽名檔,便會被植入惡意腳本替駭客散布釣魚信件。

駭客鎖定臺灣公部門、研究機構、大學發動網釣攻擊,並在網頁郵件系統注入惡意JavaScript竊密。

駭客的手法相當特殊,藉由釣魚郵件讓受害者上鉤之後,他們不僅透過受害者的郵件簽名檔,對他人發動XSS攻擊橫向感染,同時還竊取信箱內容,以及登入電子郵件信箱的憑證,或是連線階段(Session)的金鑰等。該公司指出,這樣的攻擊手法,過往沒有駭客如此做過,他們將發動攻擊的駭客組織命名為Earth Wendigo。

這個網釣郵件會發起的惡意行為,包含了會竊取瀏覽器Cookie和網頁信箱的連線金鑰,並傳送到遠端伺服器;再者,則是在受害者電子郵件的簽名檔加入惡意腳本,並感染聯絡人。

另一方面,駭客也將惡意JavaScript程式碼註冊於受害電腦瀏覽器的Service Worker,這是瀏覽器內建功能,能讓JavaScript在受害者關閉瀏覽器後,持續在背景運作。而這個被註冊的腳本,不僅會偷取登入帳密,還能竄改網頁郵件頁面內容,以便透過上述的XSS漏洞植入惡意腳本。趨勢科技表示,這是他們首度發現駭客實際濫用瀏覽器Service Worker的攻擊行動。

對此,該公司呼籲,企業不只要培養員工的資安意識,也應該要落實內容安全管制政策(CSP),來防範這種濫用XSS發動攻擊的手法。

這些駭客鎖定的目標為何?趨勢科技指出,駭客不只鎖定臺灣的政府組織、研究機構,以及大學,還有聲援圖博、維吾爾族,以及香港的人士,也是這起事件被鎖定的目標。不過,對於受害者的人數,該公司沒有說明。

在駭客組織Earth Wendigo發動的網路釣魚攻擊中,他們寄送如圖中的信件,讓誘使收信人上當。這乍看之下是Google的異常存取警告信,不過一旦收信者按下了「立即檢查」按鈕,他的電子郵件信箱的簽名檔,便會被植入惡意腳本替駭客散布釣魚信件。

資料來源: https://www.ithome.com.tw/news/142156

AIL人工智慧素養國際認證(1100112)

日期:110年1月12日(二) 地點:明志國中 參考資料: AI人工智慧素養的教學與測評資源簡介 最新人工智慧概論含AIL國際認證- 台科大圖書 認識AIL | AIL人工智慧素養國際認證| 勁園科技教育 國際化AI Literacy(AIL) – Global Learning and Assessment Development 認證題庫: AIL 人工智慧素養國際認證練習題 MOSME 行動學習一點通: HPXCX: 20200929_AIL-Specialist認證題庫_第三份 IESDY: 20200929_AIL-Specialist認證題庫_第二份 YSRZT: 20200929_AIL-Specialist認證題庫_第一份 25題練習測評:BETTG、USAGH、IPBMG 50題練習測評:DXOKG 題庫一、題庫二、題庫三 人工智慧應用與技術模擬試卷【專業級】 影片案例: 電影「人工智慧AI」:這部片子看哭了多少人?機器小男孩跨越兩千年的尋愛之旅!6分鐘看完科幻片《人工智慧AI》 影片「智慧城市」:4G智慧城市概念動畫 影片「智慧家居」: 【科技看非凡】智慧家庭超貼心! 安全.防災.照護一把罩 智慧家居家電改變未來生活 三星在台打造智慧房屋Samsung Smart Home介紹-ETtoday 3C 影片「智慧醫療」: 台灣智慧醫院 新聞深呼吸0513:打造「未來醫院」ーー科技+人性顛覆傳統 新聞報導: 新北市與台師大合作AI素養師培首位教育局長榮獲AIL國際認證 […]

智慧學習種子教師認證課程新北 X 學習吧(一)、(二)(1100125)

日期:110年1月25日(一) 時間:9:00 – 16:00 地點:碧華國小電腦教室(一) 主題:智慧學習種子教師認證課程新北 X 學習吧(一)、(二) 公文: 公文110E0000110 109學年度第二梯次新北市智慧學習種子教師認證研習 講義與教學平台: 新北市親師生平台 學習吧 – 新北特製版 相關網站: 科技化學習扶助-新北親師生平台暨學習吧初階研習(1091113) 碧華國小資訊教育中心-線上學習平台-均一教育平台 碧華國小資訊教育中心-線上學習平台-學習吧 碧華國小資訊教育中心-線上學習平台-因材網 […]