[資安]微軟發布高危漏洞 CVE-2019-0708 補丁

[新聞]舊版 Windows 的遠端桌面服務存在重大漏洞，可能引發類似 WannaCry 的災情。
先說結論:微軟一定是看到有人在兜售攻擊程式發現事態嚴重了，連早就不維護的 WinXP 都趕緊發布補丁，所以若還有朋友堅守 XP 或 Win7 的人請先關閉遠端桌面連線服務並盡速更新修補程式 !

「無故輸入他人帳號密碼、破解使用之電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金」。

影響範圍:
Windows XP
Windows Server 2003
Windows 7
Windows Server 2008

[資訊安全] 如何防止網路帳號被駭客輕鬆竊取？

最近越來越多這類新聞：
從好友下手 臉書證實2900萬個資遭駭
Google+ 50萬用戶私隱外洩 Gmail YouTube恐受累  參議員要求谷歌解釋
蘋果手機裡的支付寶、微信App 強制免密支付，裡面暗藏什麼玄機？
俄羅斯駭客攻擊 Instagram 入侵帳號竄改密碼、連 2 階段驗證也遭關閉失靈？

駭客每天都在尋找各種應用程式及網路服務的漏洞、或是利用社交工程手段來騙取我們常用的帳號密碼，用戶該如何自保呢？不外乎定期執行系統更新(但win要小心)、更改密碼、收信提高警覺，不隨意點選不明連結、有提供雙重認證的服務一定都要設定，不然就更容易被竊取而毫不知情。

☛ 分辨釣魚信件的 5 大技巧！
https://npost.tw/archives/36081

◉ 如何設定 Apple ID 的雙重認證：
https://support.apple.com/zh-tw/HT204915

還有可考慮是否關閉內購功能：
設定/一般/螢幕使用時間/啟用 內容與隱私權限制/App 內購買(選不允許)，需要密碼選永遠需要。

◉ Google 帳號如何啟用兩步驟驗證：

真實版國定殺戮日會改由其他方式悄悄上演嗎？

美國因為槍枝氾濫問題，造成校園槍擊案時有所聞，在佛羅里達州校園槍擊案造成17人死亡後一周，佛州上千學生21日參與罷課、遊行，呼籲議員盡快修法對槍枝進行管制，結果你猜怎麼了？

-> 川普無視爭議 力推教師佩槍遏校園槍擊 - 中央社CNA
雖然白宮於02月20日宣布已簽署行政命令，要禁止槍枝加裝撞火槍托變成連發裝置，以免擴大傷亡。
但川普隨即狂發推文，強力捍衛他提出的教師佩槍想法。
他宣稱學校「沒有槍枝」會吸引槍手大開殺戒，因此加緊大力鼓吹引發重大爭議的讓教師佩槍構想。
他昨天會晤上週佛羅里達州派克蘭市校園槍擊案的生還者時提出這個構想，遭到教師工會與兩黨國會議員強力反對。
他不肯死心，在推文中說：「教師和教練若受過良好訓練，對槍枝很內行，將可在警察抵達前迅即解決這個問題。這是很大的嚇阻力量。」
他又說：「『沒有槍枝』的學校會吸引壞人。（學校有槍），攻擊就會終止。」

此話引爆爭議後，川普又在推特反批媒體亂報，稱從沒要「給老師槍」，而是要讓受過訓練的老師隱密持槍，以及時回擊、嚇阻歹徒。

沒幾天的2/28日，一位喬治亞州高中的老師便在教室裡鳴槍，學生驚逃：你說教師配槍安全？
驚魂未定的學生則批評，「武裝教師一點也不會感到安全」。

接著川普就槍枝管制議題在白宮會晤國會參眾兩院兩黨十七位議員，全程由電視實況轉播。會中川普一反過去立場，公開呼籲「全面性」加強槍枝管制，還批評部份國會議員過於害怕「全國步槍協會」(NRA)。川普的言論令同黨共和黨議員震驚，民主黨人則期盼川普拿出具體作為。共和黨參議院黨鞭柯寧稍後暗示，因為有轉播，川普只是在表演而已 XD。

不要忘記 NRA 是川普跟多位議員的大金主。

HandBrake 跨平台的影片轉檔高手

HandBrake 它因為開源、跨平台、介面乾淨、支援一次排程轉檔，吃的格式多，又完全免費，所以蠻多人愛用的，缺點是尚無中文介面、更新比較慢，不久前才開發出 HandBrake 1.0.0 穩定的正式版本(花了 13 年)。

最近爆出檔案鏡像伺服器被入侵，並被放入藏有木馬病毒的安裝檔(HandBrake-1.0.7.dmg)，使得他們必須將伺服器關閉進行調查，若有中標目前可透過 macOS 系統內建的「活動監視器.app」來終止名為「Activity_agent」的程序，再移除所安裝的程式，詳細解毒方式可參考官網說明。

Apple 也已更新 macOS 上的 XProtect 安全機制以封鎖此一變種，還好身邊的朋友都還是用舊版並沒受到影響，不放心的可在下載後傳到 virustotal 檢查一下。

但它還是一個非常好用的工具，我們今天就來看看它如何使用吧：

特定版本Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞

英特爾(Intel)主動管理技術(Active Management Technology，AMT)是內嵌於英特爾vPro 架構平台的一項管理功能，獨立於作業系統外運行，即使主機已經關閉，只要主機仍與電源線和網絡相連，遠端管理人員仍可以存取Intel AMT。而服務管理器(Intel Standard Manageability，ISM)則具有遠端關機、開機、重新開機及監視運行的應用程式等，至於小型企業技術(Small Business Technology，SBT)，則具有本機端的軟體監控器、資料備份和復原及省電功能等，不少人將它視為Intel處理器的後門。 研究人員Maksim Malyutin發現特定Intel晶片韌體中的AMT、SBT及ISM管理技術存在安全漏洞，目前已知攻擊者可在未授權的情況下透過AMT管理技術遠端或本地端獲取系統控制權限，像是開機、關機、讀取文件、檢查正執行的程序、追蹤鍵盤/滑鼠及螢幕晝面等。

Spotify 用戶請盡速將桌面版更新至 1.0.42 以後

Mac 和 PC 用戶都發現其桌面版 Spotify 應用程式會默默地在硬碟中寫入大量資料，這樣會直接減少SSD硬碟的壽命，官方表示已在 1.0.42 版中解決了，所以各位桌面版使用者盡速更新。

註：Spotify 是一種數碼串流音樂服務，讓你能在任何裝置上收聽過百萬首歌曲。
https://www.spotify.com/tw/

[新聞] 電信詐騙落伍了？直接攻擊ATM的情形可能越來越多

這是國內爆發首宗 ATM 遭駭事件。

其實日本 2個月前也曾發生被國際幫派大規模盜領事件，短短 2個半小時內被上百名車手用偽造信用卡，盜領 14.4億日圓（約 4.4億台幣），盜領案發生在 5月15日清晨周日，讓竊賊有足夠時間，在當局能有所反應之前脫身離境。

[News] 用兒童色情網站釣魚 FBI執法引爭議

http://thefreethoughtproject.com/fbi-gave-215000-sickos-child-porn-25-arrests/
這是近年來FBI至少第3次進行的大規模「釣魚執法」。有關行動的大部分細節仍然保密，目前只知道FBI查封和接管兒童色情網站後，繼續維持網站運作長達 2周，藉此誘捕使用加密匿名網絡到訪的用戶。期間FBI利用間諜軟體突破用戶的電腦防火牆，藉此識別出數百人的真正身分。

[洞很大新聞] CVE-2016-0728漏洞的受災OS出爐

http://www.ithome.com.tw/news/103354
http://www.qingpingshan.com/pc/aq/44916.html
http://www.ithome.com.tw/news/103459(Google修補Android上的Linux漏洞)
目前已知受Linux Kernel零時差漏洞影響軟體清單：(2016/1/20 中午為止)
Red Hat：Red Hat Enterprise Linux 7
CentOS：CentOS Linux 7

[Big Data] 大數據時代 精準行銷變「精準詐騙」

中國4.38億人曾遭遇信息詐騙 大數據時代騙子「更精明」
http://www.hksilicon.com/articles/980106

航班信息精準詐騙，你中招了嗎？
http://big5.news.cn/gate/big5/travel.news.cn/2015-07/31/c_128078688.htm