轉發 台灣電腦網路危機處理暨協調中心(TWCERT/CC)

威聯通®科技 (QNAP® Systems, Inc.) 近日偵測到 DEADBOLT Ransomware 發動新的攻擊。依據 QNAP 產品資安事件應變團隊 (QNAP PSIRT) 的調查顯示：此次攻擊鎖定使用 QTS 4.3.6 與 QTS 4.4.1 的 NAS 設備，受影響機型以 TS-x51 系列及 TS-x53 系列為主。QNAP 呼籲所有 NAS 用戶儘速檢查並更新 QTS 至最新版本，並避免將 NAS 暴露於外網。

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

受影響之QNAP設備如下：

QNAP機型 TS-x51 系列及 TS-x53 系列為主

受影響之QNAP軟體如下：

使用QTS 4.3.6 與 QTS 4.4.1 的 NAS 設備。

建議不管何種機型，因儘速檢查並更新QTS至最新版本，並避免將 NAS 暴露於外網。

1. 立即採取資安防護行動，更新 QTS 至最新版本
2. https://www.qnap.com/zh-tw/security-advisory/qsa-21-57
3. 立即速更新 QTS 至最新版本及避免將 NAS 暴露於外網，共同打擊網路犯罪
4. 有關「建議版本」功能之說明

轉發 科學園區資安資訊分享與分析中心 SPISAC-ANA-202205-0011

Mozilla上周釋出安全更新公告，以修補桌機、手機版瀏覽器及郵件軟體Thunderbird中2個可執行惡意JavaScript重大風險漏洞。

兩個漏洞中，CVE-2022-1802為Top-Level Await實作中的原型鏈污染（prototype pollution）漏洞。如果攻擊者可透過原型鏈污染破壞JavaScript中Array物件的方法（methods），就能取得權限執行程式碼。CVE-2022-1529則允許攻擊者傳送方法訊息到主行程查詢JavaScript物件索引，導到原型鏈污染，結果是攻擊者控制的JavaScript可以在具權限的主行程中執行。

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

● Firefox 100.0.2以前版本

● Firefox ESR 91.9.1以前版本

● Firefox for Android 100.3以前版本

● Thunderbird 91.9.1以前版本

請更新至以下版本：

● Firefox 100.0.2版

● Firefox ESR 91.9.1版

● Firefox for Android 100.3版

● Thunderbird 91.9.1版