資安小知識11月刊
資安大小事
【情資分享】TeamViewer於2024年9月25日發布安全公告,修補Windows版本TeamViewer Remote客戶端存在的兩個漏洞CVE-2024-7479及CVE-2024-7481(CVSSv3.1評分皆為8.8),允許攻擊者在Windows本機系統上進行權限升級,以下兩個漏洞說明:
- CVE-2024-7479:CVSSv3.1評分8.8,透過適用於Windows的TeamViewer Remote客戶端15.58.4之前版本TeamViewer_service.exe元件,在安裝VPN驅動程式期間,對加密簽章的不正確驗證,允許在Windows系統上具有本機非特權存取權限的攻擊者,能夠提升其權限並安裝驅動程式。
- CVE-2024-7481:CVSSv3.1評分8.8,透過適用於Windows的TeamViewer Remote客戶端15.58.4之期版本TeamViewer_service.exe元件,在安裝印表機驅動程式期間,對加密簽章的不正確驗證,允許在Windows系統上具有本機非特權存取權限的攻擊者,能夠提升其權限並安裝驅動程式。
要利用這些漏洞,攻擊者必須具有對Windows系統的本機存取權限,雖然遠端利用是不可能的,但一旦攻擊者獲得本地存取權限,可能造成相當嚴重的損害。透過提升權限,攻擊者可以繞過系統安全控制、安裝未經授權的軟體或竄改重要系統檔案。
建議更新至15.58.4或之後的版本,請參閱以下官方網址說明:
https://www.teamviewer.com/en/resources/trust-center/security-bulletins/tv-2024-1006/
資安小管家
建立使用APP的好習慣,守護你我個資安全!
現代人每天已離不開智慧型手機,使用各種APPS生活更便利,同時駭客也嗅到商機,誘騙用戶點選連結,藉此竊取個資,可能會造成盜刷。平日建立使用APP的良好習慣,守護個人資訊安全。
1. 對APP的權限要求有所警覺
- 若APP要求過多的權限,可考慮安裝其它同類型的APP
- 管理個人手機APP權限,查看「權限」設定,關閉不會影響APP使用的權限
- 盡量關閉手機定位、打卡,避免被有心人士得知行蹤
2. 輸入任何個資都要小心
- 請勿於不信任的網站留下電話、地址、金融資料等個資
- 留下個人敏感資料前,再次確認是否為官方網站
- 常用且信任的網址平常就加入書籤之中,防止不小心連到仿冒頁面
3. 不以臉書或Google帳號登入網站服務
- 使用APP或網站服務時,選擇以臉書或Google帳號登入,雖然方便,但是極有可能從中蒐集臉書或Google帳號裡的資訊,一旦被駭客入侵,所有個資可能全部都被竊取。建議註冊全新的帳號與密碼。
4. 避免參加「心理測驗」或「贈獎活動」
- 社群軟體提供活動的第三方服務恐有資安漏洞,同意給予權限代表第三方服務可以合法存取社群軟體上的各種資料,例如照片、個人檔案等
- 釣魚網站常藉免費贈獎活動吸引用戶點選,一旦點擊連結可能會讓電腦自動下載並安裝惡意程式
5. 強化帳號安全性
- 使用雙重驗證,例如使用手機簡訊或e-mail寄送驗證碼
- 勿使用弱密碼例如1234、個人生日等容易猜到或被破解的密碼。建議設定強密碼,並於每個網路服務使用不同密碼,若怕忘記密碼可用記事本記錄,落實個人資安意識養成與密碼設定好習慣。
