[閒聊] 資安雙週報 240701

==== 資安雙週報 (240701) ==== 初一十五除了呷菜喔外 也要關心一下安全圈的消息 - 又是 EOL (End-of-life) 的產品被針對 - Wget 也是會有 CVE 的 - 免錢的或許真的最貴 - 各上市公司資安消息 - 商務平台 PrestaShop 外掛有漏洞 # 又是 EOL (End-of-life) 的產品被針對 # Zyxel 在六月初針對已經 EOL 的 NAS 產品發布警急更新 這已經不知道是第幾起駭客針對 EOL 的產品發動攻擊[0] 但是這次揭露 是首度發現針對老舊 NAS 進行鎖定攻擊 # Wget 也是會有 CVE 的 # Wget 是一個 Linux 環境十分常用的一個下載工具 近期被發現一個 CVSS 10.0 的安全性漏洞[1] 雖然事後 CERT 把 CVE-2024-38428 的 CVSS 分數下修為 6.3 但依然值得關注 因為是經過特製的 URL 就可能造成帳密資料洩漏或者 MITM # 免錢的或許真的最貴 # 近日資安圈消息：因為 polyfill.io 已經賣給一間中國公司 原開發者[2] 建議大家儘快移除 polyfill.io 而有人發現當使用 cdn.polyfill.io 服務時有機會被塞入加料的 JS [3] 同時也有人幫忙整理整件事情的來龍去脈[4] # 各上市公司資安消息 # - 華碩 (2357) 因為參數設定問題、部分產品資料揭露[5] - 永信藥品遭到駭客攻擊 營運無重大影響[6] # 商務平台 PrestaShop 外掛有漏洞 # 電子商務平台 PrestaShop 的臉書外掛程式存在漏洞 CVE-2024-36680 方克有機會發動 SQJInj 攻擊 CVSS 分數為 9.8 [7] [0]: https://www.ithome.com.tw/news/163661 [1]: https://borncity.com/win/2024/06/18/critical-vulnerability-cve-2024-38428-in-wget/ [2]: https://x.com/triblondon/status/1761852117579427975 [3]: https://blog.huli.tw/2024/06/25/stop-using-polyfill-io/ [4]: https://polykill.io/ [5]: https://udn.com/news/story/7240/8054290?from=udn-ch1_breaknews-1-99-news [6]: https://www.ithome.com.tw/news/163503 [7]: https://www.ithome.com.tw/news/163644 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 218.164.1.8 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1719795338.A.011.html