恶意广告与零时差漏洞.PDF

惡意廣告與零時差漏洞 ： 舊威脅重出江湖，挑戰供應鏈 信賴關係與最佳實務原則 TrendLabsSM 2015 年第一季資訊安全總評 內容 趨勢科技法律免責聲明 4 本文之內容僅供一般資訊及教育用途。不作為也不 應視為法律諮詢建議。本文之內容可能不適用於所 網站廣告商業模式的漏洞讓使用者陷 有情況，也可能未反映出最新的情勢。在未就特定 入危險 事實或所呈現之情況而徵詢法律建議之前，不應直 接採信本文之所有內容或採取行動。趨勢科技保留 隨時修改本文內容而不事先知會之權利。 11 所有翻譯成其他語言之內容僅供閱讀之方便。翻譯 加密勒贖軟體感染數量飆高讓企業受 之準確性無法保證。若有任何關於翻譯準確性的問 到威脅 題，請參考本文件原始語言的官方版本。任何翻譯 上的不一致與差異皆不具約束力，且在法規與執法 上不具法律效力。 17 儘管趨勢科技已盡合理之努力確保本文內容之準確 巨集惡意程式寶刀未老 性與時效性，但趨勢科技對其準確性、時效性與完 整性不提供任何擔保或聲明。在您存取、使用及採 納這份文件內容時，即同意自行承擔任何風險。趨 21 勢科技不提供任何形態之擔保，不論明示或隱含之 擔保。趨勢科技或建立、製作或供應此文件之任何 出道十幾年的 FREAK 資安威脅 相關對象，對於存取、使用、無法使用、因使用本 讓修補程式管理面臨挑戰 文、因本文內容之錯誤或遺漏而引起之任何後果、 損失、傷害皆不承擔責任，包括直接、間接、特 殊、連帶、營利損失或特殊損害賠償。使用本文之 26 資訊即代表接受本文之「原貌」。 醫療產業發生大規模資料外洩，其他 產業也因 PoS 惡意程式而疲於奔命 30 昔日駭客捲土重來，推出新的進階持 續性滲透攻擊 (APT) 工具、手法與程 序 32 漏洞攻擊套件日益精良 36 威脅情勢回顧 回顧過去這一季的資安威脅情勢，我們發現不論使用者再怎麼小心，駭客似乎依 然防不勝防。網路犯罪集團及駭客再也不需開拓新的疆土就能擄獲新的受害目 標。其大部分的基礎都已建立，他們只需善加利用。 人們最大的資安漏洞就在平常疏忽的地方，例如，惡意廣告並不是今日才有，許 多使用者對它們早就習以為常。就算使用者已部署最新的資安防護，並且熟悉資 安的觀念，但萬一遇到暗藏零時差漏洞攻擊的惡意廣告，依然是毫無招架之力。 今年二月發生的 Adobe? Flash? 漏洞，就是最好的證明。 行動使用者同樣也是無法倖免，越權廣告程式持續帶來重大威脅，Google P