資訊安全新聞

本周釋出的Safari 5.0.1改善該瀏覽器多項穩定度及安全性問題，並修補十多個安全漏洞，其中包括日前被揭露的自動填入功能漏洞。文/陳曉莉 (編譯)

蘋果周三（7/28）釋出Safari 5.0.1，除了修補日前資安人員所揭露的自動填入（Autofill）功能漏洞外，也啟用了擴充程式中心。

蘋果甫於今年6月發表Safari 5.0，本周釋出的Safari 5.0.1改善該瀏覽器多項穩定度及安全性問題，並修補十多個安全漏洞，其中包括日前被揭露的自動填入功能漏洞。

資安研究員周三以實例證明，破解自動櫃員機(ATM)不是不可能的事，只要有合適的軟體，甚至是輕而易舉的事。(ZDNET新聞專區：Declan McCullagh)

西雅圖IOActive公司安全測試總監Barnaby Jack周三在拉斯維加斯黑帽(Black Hat)會議上演講，把兩台ATM搬到講台上，親自示範如何破解ATM，按了一個按鈕後，讓ATM吐出一堆鈔票。

澳洲籍、家住聖荷西的Jack說：「有些裝置從外表上看來固若金湯，但我希望改變民眾對這些裝置的看法。」

奧多比公司(Adobe Systems)不久後將採用微軟的模式，在發布安全更新之前，先與資安軟體公司分享與自家軟體安全弱點有關的資訊。(ZDNet新聞專區：Elinor Mills)

兩家公司周三在黑帽(Black Hat)會議上宣布這項消息。.

微軟公司在2008年推出微軟主動防護計畫(Microsoft Active Protections Program； MAPP)，此後微軟在對一般民眾釋出安全更新之前，會先向資安軟體業者提供軟體安全漏洞的資訊，讓他們有比較充裕的時間對用戶提供更及時的保護。

微軟表示，MAPP已協助降低安全漏洞的空窗期，有些情況下降幅超過75%。這種成功經驗促使奧多比計劃今年秋季跟進。

網際網路已歷經1番「重大」升級，未來騙人進入假網站下載病毒或竊取個資的犯罪，可望大幅減少。（拉斯維加斯綜合外電報導）

負責管理網址的網際網路名稱與號碼分配組織（ICANN）與網路安全公司VeriSign和美國商務部（Department of Commerce）合作，在網站加入加密身分辨識機制，以確定網站真實性。

ICANN執行長貝克斯特魯姆（Rod Beckstrom）說；「不論從哪方面看，這都是歷史性的發展。」他今天在拉斯維加斯精英齊聚的黑帽（Black Hat）電腦安全大會上宣佈上述消息。

「安全升級攸關每個電腦使用者，也就是我們大部分人。」

據國外媒體報導，一個BT(BitTorrent)檔案共享網站近日發布了一份含有Facebook使用者資訊的下載內容，共有1億多名Facebook使用者的頁面資料信息被收錄其中。

據悉，該下載檔案大小為2.8GB，由駭客羅恩·鮑威斯(Ron Bowes)親手收集。他透過自己編寫的網路爬蟲技術，而抓取了Facebook網站可公開存取的頁面資訊。換句話說，對於那些沒有改變自己預設隱私設置的Facebook使用者，他們的頁面資訊都被鮑威斯透過爬蟲技術而抓取。

香港八達通控股有限公司出賣客戶個人資料的醜聞持續擴大，繼先前八達通說曾將「日日賞計畫」會員資料轉交合作商戶後，27日再引爆出個人八達通卡主及自動增值服務使用者的個資私隱，也同步遭受侵害。八達通坦承自2002年起，就將該批個人資料，提供給六間合作客戶進行業務推廣，港民要求退費。【記者慶正／綜合報導】

本案導因於今年6月，八達通公司宣布香港市民未來可在深圳使用八達通卡。結果有港民在商業推廣中發現，八達通卡的「個人資料申明」列明：在卡主不反對前提下，公司可將其用戶資料用作推廣和直銷，引起社會關注。

個資轉售6家公司

網路最近出現署名「聯合國犯罪賠償委員會」發放「詐騙」賠償金的電郵，刑事警察局追查，這封電郵明顯篡改聯合國文件，是騙徒假借聯合國名義，以發放「詐騙」賠償金誘人上當的騙局，提醒民眾提防。【記者張榮仁／台北報導】

刑事局國際科指出，詐騙電郵署名「聯合國犯罪賠償委員會」印有聯合國徽章，主旨為「賠償金額已備妥，請詳閱附件檔案，迅速具領」，內容指聯合國正針對世界各國7814名「詐欺」被害人發放8億6400萬美元賠償金。

美國聯邦調查局（ＦＢＩ）二十七日宣布，一名二十三歲斯洛維尼亞籍駭客已落網，他編寫的惡意程式碼被用來打造「殭屍網路（botnet）」，感染全球一千兩百萬部電腦，並入侵各大銀行和世界各地的公司。〔編譯陳成良／綜合報導〕

斯國刑事警察局、ＦＢＩ及西班牙當局經長時間調查後，日前在斯國第二大城馬里博爾逮捕這名網路化名「艾瑟度（Iserdo）」的男子。

資策會產業情報研究所(MIC)的調查顯示，目前台灣大型企業只有1%採用雲端運算服務，4.1%計畫在2013年前採用雲端運算服務，57.1%的企業表示尚未規劃，甚至有37.7%的企業認為不需要。【記者陳雅蘭／即時報導】

資策會產業情報研究所 (MIC)針對國內1000大製造業、500大服務業、100大金融業進行「雲端服務採用意向調查」。

結果顯示，國內已採用雲端服務的大型企業只有1%，而超過57.1%台灣大型企業對於雲端服務仍採取觀望的態度，且44.2% 的企業仍沒有熟悉的雲端供應商，其中資安問題是企業在考量採用雲端服務的主要疑慮。

WIN網路申訴單e窗口今天指出，80%以上的不良資訊都是在無意間點選或查找資料時突然出現。民眾如遭遇不當網頁入侵困擾時，可以上www.Win.org.tw申訴。（記者黃慧敏台北28日電）

為維護優質的網路使用環境，在國家通訊傳播委員會（NCC）指導下，行政院跨部會的「受理民眾申訴及通報網路內容問題單一窗口」（簡稱WIN網路單e窗口）今天宣告成立，將在8月2日啟動。

啟動記者會在NCC舉行，會中並公布「2010台灣青少兒上網安全長期觀察報告」。報告指出，台灣8到18歲青少兒上網學生中，約90%是在家中上網，46.5% 最常獨自上網，其次與兄弟姊妹一同上網佔27.5%。

就在黑帽安全會議召開前，Google公司修補好Chrome穩定版的7個安全漏洞，並開始推動加速安全業對這類弱點的反應時間。ZDNet新聞專區：Stephen Shankland

Google Chrome團隊成員Jason Kersey 26日發表，關於Chrome 5.0.375.125的部落格文章，該公司已付出兩筆1,337美元的獎金，給幫助Chrome迴避Windows和glibc軟體庫弱點所造成之安全問題的人員。

Google也透過其獎勵方案，發放獎金給找到另外3個高風險和1個中度風險Chrome漏洞的人士。最後一個低風險漏洞沒有提供獎金。

去年，一位資安研究員原本排定在兩場駭客會議上談論ATM軟體的安全漏洞，但後來因為ATM軟體商抗議而作罷。但今年，在周三和周五登場的黑帽(Black Hat)與Defcon會議上，有關討論將捲土重來。ZDNet新聞專區：Elinor Mills

服務於IOActive公司的Barnaby Jack在演講摘要中說：「我總是很喜歡魔鬼終結者第二集裡的一個場景，就是John Connor走向一台自動櫃員機(ATM)，把他的Atari接上讀卡機，然後從ATM裡領走現金。」他的講題是：「中大獎自動櫃員機之舊話重提」(Jackpotting Automated Teller Machines Redux)。

蘋果電腦的網站上週出現標錯價事件，行政院消保會要求蘋果電腦提出解決方案，今天(27日)已有結論。蘋果電腦除了表達歉意，也表示願意出貨，但只給予學生和教職人員，不包括一般民眾。消保會表示，消費者如果不滿意蘋果電腦所提的方案，仍可透過訴訟途徑爭取權益。(撰稿‧編輯：陳林幸虹)

美國黑客大會(Black Hat USA)28日將在拉斯維加斯登場，電腦駭客(hacker)本周雲集，準備一顯身手，探討電腦防護科技、銀行櫃員機(ATM)、手機、發電廠，以及現代生活其他不可或缺「智慧」裝置的弱點。但會前引人注目的事件是，台灣主要網路應用程式廠商阿碼科技(Armorize Technologies)突然撤下其首席科技官預定發表的「中國網路大軍」(Chinese Cyber-army)報告，據悉旨在避免得罪中國官員。(法新社舊金山26日電)

美國國家版權局（ U.S. Copyright Office）26日判定，手機越獄行為不違反聯邦著作權法。(ZDNET新聞專區：Declan McCullagh)

這項決定屬於每3年進行一次的程序。當局表示，繞過製造商的保護機制，讓「手機得以執行應用軟體」是可允許的。

國家版權局也允許迴避DVD光碟的反拷貝技術，但僅針對「紀錄片製作」、非商業性質影片，和教育使用，因此美國民眾仍不能合法為自己購買的DVD光碟、遊戲光碟或藍光碟片製作備份。