IG(Instagram)现严重漏洞,一张照片就能让个资被骇。(图片来源:Adobestock)
常用IG的族群要注意了,可别小看里面的照片,认为与个资无关。因为现在发现只要一张照片,就能让手机个资遭骇,不可不慎!
据资安业者“Check Point”近期发布的研究报告指出,Instagram 照片分享平台目前每月在全球的活跃用户将近十亿,人数十分庞大。而该应用程式所采取的第三方函式库 Mozjpeg 被发现存在一项严重的安全漏洞,使得 Instagram 这个应用程式可能会遭到骇客利用。
有心人士只需要透过一张精心制作,且内含恶意程式的特殊照片,再借由其它社群软件(如WhatsApp等)等管道分享散播,等用户收到照片的网址连结,并开启 Instagram App 后,应用程式就可能会出现当机崩溃的情形,这时用户就必须删除应用程式并重新安装,才能正常使用 Instagram。
虽然这个漏洞并非存在于 Instagram 应用程式本身,而是隐藏在该应用程式用于处理图像、声音与网络连接的第三方函式库 Mozjpeg 中,但依然有可能因此成为间谍工具。导致有心人士钻这个漏洞,借此植入远端恶意程式代码,再非法入侵到用户的手机,从而帮助骇客在远端存取用户手机,取得用户手机的相机、麦克风与联络人等权限,如此一来,用户的隐私资料将可能遭到不当窃取,有个资外泄的安全风险。
研究人员并进一步分析指出,日前在发现这个安全漏洞时,就已经向脸书 Facebook 通报,而脸书也已迅速释出该漏洞的修补。所以也建议有安装 Instagram 应用程式的用户,务必尽快将 Instagram 应用程式的版本更新至最新版。这样才能避免该漏洞遭有心人士所利用。若 Instagram 应用程式未来释出最新的更新版本时,也建议用户最好赶快更新,这样才能避免手机遭骇。
Windows 亦曝重大漏洞。(图片来源:Adobestock)
●Windows 亦曝重大漏洞
不只 IG,美国国土安全部在日前也罕见向政府部门发出紧急警告,要求所有采用微软 Windows Sever 各版本的相关机构单位,必需立即修补一项名为“CVE-2020-1472”的严重资安漏洞。因为这个漏洞会遭到骇客发动“Zerologon”攻击,更新后才能尽可能降低所有连网电脑被植入恶意程式遭骇的资安风险。
据美国国土部旗下的网络安全及基础设施安全局(简称CISA)指出,这个漏洞的严重性等级被评为10分,属重大安全漏洞的最高等级。骇客只要经由该漏洞,甚至无须窃取或使用任何密码,即可轻易透过网络,取得控制所有电脑网域的权限。其中包括:管理网络安全的网域控制器和服务器。
这个漏洞是由国外资安 Secura 公司旗下的研究人员向微软通报。据悉,这个漏洞一旦被骇客入侵,只要短短三分钟,即能取得在同一个 Windows 网域内所有电脑的管理权限。
微软已在日前针对此漏洞,在八月份的例行性安全更新版本中,推出初步阶段的安全补丁。只是因为这个漏洞过于复杂,微软预计在明年第一季前,会再提供更完整的安全修补。
另外 Secura 资安公司也向私人企业,以及一般用户提出呼吁,建议所有安装 Windows 的电脑,务必尽速手动更新微软八月份例行性安全修补程式,避免电脑遭骇入侵,导致个人隐私资料外泄。