Date : 11/22/2017 9:25:49 AM
From : "הדס שני מליק"
Subject : עדכון חדשות סייבר יומי 22/11/17
Attachment : 34365_image001.png;34365_image002.png;


 

‏22 נובמבר 2017‏

‏ד' כסלו תשע"ח

 

עדכון חדשות סייבר יומי

 

בעולם

 

1.      חוקרי CyberArk חשפו טכניקת תקיפה חדשה, GOLDEN SAML, המאפשרת זיוף אותנטיקציה לאפליקציות בענן באמצעות ניצול שירותים העושים שימוש בפרוטוקול SAML 2.0 כמנגנון SSO (הזדהות חד פעמית). (cyberark(

2.      חברת Uber חשודה כי שיחדה האקרים במאות אלפי דולרים תמורת הסתרת אירוע דלף מידע בקנה מידה גדול במערכותיה, אשר עלול היה להוביל לחשיפת מידע אישי של 57 מיליון מלקוחותיה ונהגיה. (tripwire(

3.      למעלה מ- 30 מיליוני דולרים במטבע דיגיטלי נגנבו באירוע פריצה לארנק הוירטואלי Tether, החברה חוקרת את האירוע. (tether(

4.      אתר החדשות Quartz מפרסם תחקיר לפיו גוגל ממשיכה לבצע מעקב אחר מיקום משתמשים באמצעות GPS גם כאשר המשתמשים משביתים את שירות המיקום במכשירם. גוגל אישרה את הטענות. (qz(

5.      BankBot, סוס טרויאני בנקאי מוכר לאנדרואיד מופץ באמצעות אפליקציית Tornado flashlight תחת השם com.andrtorn.app בחנות האפליקציות של גוגל. (clientsidedetection(

6.      חברת Cisco תשתף מידע לגבי איומי סייבר עם האינטרפול לטובת המלחמה בפשיעה ברשת. (cbronline(

7.      רשות התחבורה בסקרמנטו, קליפורניה, חוותה תקיפת סייבר אשר הביאה למחיקה של מידע בעל ערך ממערכות המחשוב ולפגיעה בשירות, התוקף דרש כופר בסך 8000$. (sacbee(

8.      אזרח איראני בשם בהזד מסרי מואשם בפריצה לחברת HBO לפני מספר חודשים, גניבת מידע רגיש ופרקי סדרות פופולריות שטרם שודרו ודרישת כופר. (bbc(

 

טכנולוגיה

 

9.        OWASP מפרסמת את דוח עשר החולשות המובילות באפליקציות ווב לשנת 2017. השנה לרשימת סוגי החולשות המוכרות נוספו גם חולשות מסוג XML external entities (XXE), insecure deserialization errors וניטור / תיעוד חסר. (owasp(

10.  שלל חולשות XSS  ב- Rational DOORS Next Generation מתוצרתIBM  עלולות לאפשר הרצת קוד מרוחק. (ibm(

11.  חברתHP  הפיצה עדכון אבטחה קריטי עבור מדפסות מדגמים שונים מתוצרתה, לאחר חשיפת חולשת הרצת קוד מרוחק העלולה לאפשר לתוקף נגישות לעבודות הדפסה והגדרות בציוד. (hp(

12.  עדכון אבטחה קריטי ל- VMware Workstation Pro / Player ו- VMware Fusion Pro / Fusion מטפל בשלל חולשות העלולות לאפשר הרצת קוד, הזרקת DLL ועוד. (vmware(

13.  עדכון אבטחה חשוב עבור Symantec Management Console עד גרסא ITMS 8.1 RU4 מטפל בחולשת Directory traversal העלולה לאפשר זליגה ל- File system. (symantec(

14.  סקאדה: יצרנית מערכות האוטומציה לתעשיה PHOENIX CONTACT מפרסמת עדכון אבטחה עבור שלל מוצריה, המטפל בחולשת KRACK בפרוטוקול WPA2 אשר סוקרה בהרחבה בחודש שעבר. (ICSA-17-325-01)

15.  חוקרי חברת Armis מדווחים על חולשות בפרוטוקול Bluetooth במכשירי Amazon Echo ו- Google Home העלולות לאפשר הרצת קוד וזליגת מידע. (armis(

16.  חולשת אימות ב- Install Norton Security (INS) מתוצרת Symantec עבור Mac עד גרסא 7.6 עלולה לאפשר יישום מתקפת "אדם באמצע". (kb.cert(

 

עדכון זה ניתן כשירות למשרדי הממשלה ומבוסס על לקט של פרסומים גלויים. הפרסומים מובאים בשם אומרם ואינם משקפים את עמדת הרשות ו/או את פעולותיה.

 

 

logo heb