2018/08/06 ~ 2018/08/10 安全信息彙總

重大弱點漏洞

tcpflow整數溢出漏洞

Linux內核曝TCP漏洞，極小流量就可以DoS癱瘓設備

Juniper Junos阻斷攻擊漏洞

三星SmartThingsHub智能家居設備現20個安全漏洞

TLBleed漏洞竟是通過探測TLB獲取CPU祕鑰

WiFi Protected Access II（WPA2）阻斷攻擊漏洞

編譯器的MinGW-W64產出執行檔具先天性缺陷，不受ASLR機制保護

OpenEMR遠程代碼執行漏洞

NetApp 7-模式過渡工具安全漏洞

Micro Focus GroupWise任意文件上傳漏洞

HP Inkjet印表機多個漏洞

惠普噴墨印表機逾百款型號具RCE漏洞，宜速更新韌體

網頁程序防火牆ModSecurity暗藏跨站腳本缺陷

Linux kernel緩衝區溢出漏洞（CVE-2018-14615）

Apache Airflow跨站腳本漏洞

Tenable SecurityCenter跨站腳本安全漏洞（CVE-2018-1155）

快修補！微軟Edge瀏覽器有本機資料竊取漏洞

谷歌的分析師發現，Win10巨大安全漏洞將導致黑客竊取用戶密碼

快檢查你公司的電腦系統！調查發現大部分企業有未被發現的漏洞

微軟發佈07月份安全性公告，建議請儘速更新

Linux內核阻斷攻擊漏洞

Cisco Nexus 4000系列交換機NX-OS輸入驗證漏洞

多款Cisco產品FXOS軟件和UCS Fabric互連軟件CLI解析器輸入驗證漏洞

多款Cisco產品FXOS和UCS Fabric互連軟件輸入驗證漏洞

多款Cisco產品FXOS和UCS Fabric互連軟件輸入驗證漏洞（CVE-2018-0298）

PHP安全漏洞

SAP Mobile Platform SDK存在未明信息泄露漏洞

SAP Standalone Enqueue Server存在未明拒絕服務漏洞

Dell EMC Data Protection Advisor XML外部實體漏洞

Knot Resolver DNS解析器組件輸入驗證漏洞

Insteon Hub緩衝區溢出漏洞

高階腳本語言Perl存在目錄遍歷，恐被寫入惡意檔案

微軟IIS資安漏洞查詢

Mikrotik WinBox 6.42 - 憑證披露（Metasploit）

SonicWall全球管理系統 - XMLRPC set_time_zone命令注入（Metasploit）

Zimbra 8.6.0_GA_1153 - 跨站點腳本

TP-Link C50無線路由器3 - 跨站請求僞造（信息披露）

TP-Link C50無線路由器3 - 跨站請求僞造（遠程重啓）

TP-Link無線N路由器WR840N - 拒絕服務（PoC）

QNap QVR Client 5.0.3.23100 - 拒絕服務（PoC）

交換機端口映射工具2.81 - “SNMP社區名稱”拒絕服務（PoC）

銀行/金融/保險/證券/電子支付/行動支付/虛擬貨幣/區塊鏈新聞及資安

純網銀持股限制顧立雄退讓仍要金融業主導 http://www.chinatimes.com/realtimenews/20180803004015-260410

上市櫃投保資安險擬列公司治理評鑑 https://www.udn.com/news/story/7251/3292482

金融業5招防毒請「白帽駭客」測試 https://tw.news.appledaily.com/headline/daily/20180805/38089651/

RatingToken提示用戶警惕千面合約存在“假充值”漏洞 https://zhuanlan.zhihu.com/p/41195395

漏洞賞金獵人發現Monero存在漏洞可導致交易所錢包被盜幣 http://www.bitcoin86.com/szb/26501.html

Messenger研銀行功能惹私隱憂慮 https://news.mingpao.com/pns/dailynews/web_tc/article/20180808/s00014/1533666526249

Monero漏洞被發現;數字貨幣劫持已感染7.2萬臺路由器 http://huoqiucj.com/Content/information?data=AyiUrM6nomAsBXc__2FERb1oA__2C__2C

網絡安全公司：AMR合約高危漏洞系黑客利用多用戶轉賬函數導致 http://www.zijie.com/37379.html

當年華裔女留學生利用銀行漏洞，無限透支2400萬，銀行負全責 https://www.yuio.cc/finance/30435.html

不只金融業有資安問題專家：「人」是最弱防線 https://tw.appledaily.com/new/realtime/20180805/1405191/

德銀內部檢討據報發現洗錢監管存缺失 http://www.aastocks.com/tc/stocks/news/aafn-news/NOW.887803/2

花蓮郵局ATM大當機經搶修於下午3時恢復 https://tw.appledaily.com/new/realtime/20180804/1404613/

行政大樓更換變壓器停電花蓮郵局ATM領嘸錢 https://bit.ly/2Mm3s52

花蓮郵局ATM全當機1小時搶修完畢 http://news.ltn.com.tw/news/life/breakingnews/2509288

首臺智能ATM年底啓用1秒臉部辨識領錢 https://tw.appledaily.com/new/realtime/20180804/1402222/

美國製裁一間俄羅斯銀行據報推動北韓非法金融活動 http://news.rthk.hk/rthk/ch/component/k2/1410605-20180804.htm?spTabChangeable=0

金融業錢多多易成駭客目標 https://tw.appledaily.com/finance/daily/20180806/38090067

金管會出手嚴管虛擬貨幣帳戶不配合就關戶 http://www.cna.com.tw/news/afe/201808060037-1.aspx

上市櫃資安投保顧立雄緊盯 https://ctee.com.tw/news/viewcatenews.aspx?newsid=191171&cateid=cjzc

顧立雄：藉助金融機構力量創造美好社會目標 https://udn.com/news/story/6853/3288872

看準大數據應用金管會將設置保險聯合資訊中心 https://bit.ly/2vKSpv9

Facebook洽美大型銀行欲索取用戶財務資料 http://www.orangenews.hk/finance/system/2018/08/07/010096101.shtml

外媒：Facebook的請求美國銀行分享客戶財務信息 https://bit.ly/2Mre7vc

支付機構爲非法交易提供服務央行再次處罰逾7千萬 http://paper.wenweipo.com/2018/08/07/CH1808070016.htm

金檢期間刪郵件挨罰富邦金：工程師誤刪 http://ec.ltn.com.tw/article/breakingnews/2511484

和前同事聚餐發現事情大條投行金童劉奕成轉戰Line純網銀 https://www.cw.com.tw/article/article.action?id=5091516

伊朗駭客將目標轉向勒索軟體和比特幣 https://cn.wsj.com/articles/CT-TEC-20180808110330

報告：全球數位加密貨幣逾1600種，前十名佔9成市值 https://www.moneydj.com/KMDJ/News/NewsViewer.aspx?a=5d00915a-ab1e-4362-85ac-c21067f7bd66

全球數位貨幣逾1600種比特幣，乙太坊幣市佔高 http://www.chinatimes.com/realtimenews/20180808002503-260410

預測平臺「奧格」被曝重大漏洞，黑客可篡改網頁騙取用戶代幣 https://www.odaily.com/post/5133190

預測平臺“吉兆”被曝重大漏洞黑客可篡改網頁騙取用戶代幣 https://hk.saowen.com/a/185128c5f54e5114e4cb20474a5b41aeb40c8ad172ff0432fc06ce664ba52a8f

慢霧區：預言者重大漏洞是一個典型的前端黑攻擊 http://www.huoxing24.com/liveNewsDetail/20180808105441259348

奧格發現重大漏洞，黑客可藉此控制系統並獲取用戶信息 http://www.chaindd.com/3103394.html

白帽黑客發現預言者漏洞，獲5000美元賞金 https://www.bitguai.com/lives/hot/13738.html

區塊鏈技術安全漏洞頻發？這篇報告給出了若干解決方案 http://www.jingyubc.com/articles/1841824981562950275

以太坊DApp Augur存在安全漏洞 https://www.jinse.com/bitcoin/224934.html

掃蕩人頭！數位帳戶禁登記同“手機，信箱” https://news.tvbs.com.tw/life/969849

虛擬貨幣取代法定貨幣？央行總裁楊金龍指出七大問題 https://news.cnyes.com/news/id/4179657

中國金融機構評估的DDoS防護提供商的四項重要標準 http://www.aqniu.com/vendor/36582.html

「別用傳統觀念綁住創新！」陳沖：已有部分金融科技業者對監理沙盒感到失望 http://www.storm.mg/article/474738

金管會建議調查局任虛擬貨幣主管機關 https://udn.com/news/story/7239/3300891

虛擬貨幣列管？9月定案 http://www.chinatimes.com/newspapers/20180810000243-260202

最快10月起老外拿信用卡可直接加值電子票證 https://udn.com/news/story/7239/3300224

LINE對上PChome，行動支付大戰背後其實是點數生態系之爭 https://technews.tw/2018/08/10/line-vs-pchome-the-competition-of-points-ecosystem/

警破網路匯兌洗錢平臺凍結3千多萬資金 http://www.epochtimes.com/b5/18/8/9/n10626849.htm

偵破網路地下匯兌平臺遏止詐騙洗錢犯罪管道 https://times.hinet.net/news/21900627

詐團用「CherryPay」地下匯兌遭警搗破上千萬資金被凍結 https://www.ettoday.net/news/20180809/1231621.htm

中華電將設專專小組啓動純網銀執照申請籌備由董座鄭優領軍 https://news.cnyes.com/news/id/4179472

陳沖：P2P可透過監理沙盒機制納管 http://www.chinatimes.com/newspapers/20180810000242-260202

3名Fin7成員因15M卡數據的網絡數據而面臨26項指控 https://www.atmmarketplace.com/news/3-fin7-members-face-26-charges-in-cybertheft-of-data-for-15m-cards/

參考資料

• 本文地址
• 本文涉及的python測試開發庫 請在github上點贊，謝謝！
• 本文相關海量書籍下載 更多資料： https://blog.tdohacker.org/2018/08/20180806-20180810.html#more