2024.05-NOTE #2

資安動態

1. [加拿大作曲家抱怨 Windows 11 電腦問題不斷，上網求救才知兇手竟是來自客廳的Hisense智慧電視] 中國海信所生產的Hisense電視，每個幾分鐘就會生成一組隨機 UUID，並透過 UPnP 協議進行自動連接，這就導致 Windows 不斷地識別到有新的設備，並將其添加到設備列表之中，隨著時間不斷累積，系統不斷去處理增生的設備而耗盡資源，陷入了 Deadlock（死結），也使得工作列、藍牙等相關功能隨之停擺。看起來就像是電視對個人電腦發動了 DDoS 攻擊
   (一直變更自己的 UUID，目的是可以擋掉被追蹤的軌跡? 還是什麼其他目的 ? )
2. 研究人員揭露CPU推測執行漏洞攻擊新手法Pathfinder，能用來洩露加密金鑰與資料 | iThome : AMD預告將在資安公告AMD-SB-7016說明，而在4月26日他們發布相關公告，可能是因為與學者的溝通出差錯，或是臨時變更，發出的資安公告編號卻是AMD-SB-7015
3. 使用 AI 瞭解 Chrome 控制台訊息 : Chrome 125 開始，在 F12 Console 模式下將直接整合 Gemini AI 幫你看懂所有的錯誤訊息
4. URLhaus | Malware URL exchange 散佈惡意程式或有危害的URL名單，這一份資料庫每天更新，到今天為止搜集了281萬筆，可以免費查詢下載，也有 API。
   URLhaus | 統計資料
   URLhaus | API 可以下載 CSV/JSON Database
5. 玩大陸剪輯軟體「克隆」聲音　隔天竟接AI詐騙電話震驚：被盜用? : 使用大陸的剪輯軟體來「克隆」，也就是AI模仿自己的聲音配音，隔天親戚居然就接到自己聲音的AI詐騙電話，讓她直呼未免太過巧合，質疑遭到盜用
6. Slack AI Training with Customer Data( User難拒絕被搜集) : Slack 要拿客戶的資料丟給AI 訓練 !?  Privacy 加乘 Security 的雙重議題，自找麻煩，預測最後應該會髮夾彎 !?
7. 索尼音樂公開聲明退出AI訓練 | iThome : 除了退出AI訓練、禁止第三方未經授權使用Sony Music版權內容公開聲明之外，索尼也發出警告信通知全球的AI開發者(700 多家科技公司和音樂串流服務商)，包括OpenAI、微軟與Google等
8. 強化DevOps與開發效率，GitLab 17.0加入CI/CD目錄與AI影響分析儀表板 | iThome : 是不是該升級了 ?!
9. Match Group、Meta與Ripple等業者創立Tech Against Scams以共同打擊網路詐騙

資安事件 | 公司被駭

1. 鼎新電腦 EasyFlow .NET- SQL Injection : 鼎新電腦 EasyFlow .NET 之部分功能參數未對使用者輸入進行驗證，允許遠端攻擊者在不需權限的情況下，即可注入任意 SQL 指令讀取、修改及刪除資料庫內容，並可以執行系統指令
2. 京鼎精密科技第2次遭植入勒索軟體 : 113/5/6發生但是至 113/5/21 才發布公告
3. 芬蘭首都赫爾辛基市教育機構傳出資料外洩，未經授權人士利用已知漏洞得到網路磁碟存取權限 : 存在已知漏洞的遠端存取伺服器，因尚未修補而釀禍。這則公告並未透露遭駭的系統名稱及漏洞編號，但他們認為，這突顯市政府的資安更新及設備管理不足
4. 駭客宣稱濫用Dell網站API竊取近5千萬用戶個資 : Dell爆發4,900萬筆用戶個資外洩，媒體《Bleeping Computer》報導，駭客是利用Dell合作夥伴的API漏洞，得以竊取到用戶個人及設備資訊
5. 半導體業者逸昌遭駭客網路攻擊 : 05/18 鴻海集團旗下半導體大廠京鼎精密遭網路攻擊，如今再有逸昌科技發生網路資安事件的消息，成為國內半導體公司都關注的焦點
6. 美國無線電聯盟ARRL 遭遇網路攻擊，營運被迫中斷

漏洞

1. Git修補5個漏洞，其中包含子模組複製儲存庫產生的RCE漏洞 | iThome
   - CVE-2024-32002，CVE-2024-32004，CVE-2024-32465，低危險的CVE-2024-32020與CVE-2024-32021
   - Git，5月14日發布2.45.1版 : Securing Git: Addressing 5 new vulnerabilities - The GitHub Blog
   - Visual Studio版本更新，涵蓋Visual Studio 2022（17.9.7）、Visual Studio 2019（16.11.36）、Visual Studio 2017（15.9.62）
2. Chrome瀏覽器揭露與修補零時差漏洞CVE-2024-4671，Google證實漏洞濫用活動已經廣泛存在 | iThome : 視覺呈現元件具有「記憶體釋放後又再存取使用（Use After Free）」的弱點，這種狀況可能導致程式當機、遠端程式執行或權限提升
   5/13 : Google發布電腦版Chrome更新124.0.6367.207、208，主要修補高風險漏洞CVE-2024-4761，漏洞存在於JavaScript引擎V8，為記憶體越界寫入的問題，由不具名的研究人員在5/ 9日通報，而這是今年Google修補的第6個Chrome零時差漏洞。該公司才在上週修補另一個零時差漏洞，兩次更新間隔僅有4天
   5/15 Google發布Chrome 125新版本（125.0.6422.60、61，修補9個漏洞，值得留意的是高風險漏洞CVE-2024-4947
3. PostgreSQL 16.3, 15.7, 14.12, 13.15, and 12.19 Released : 修復 CVE-2024-4317
4. Acrobat及Acrobat Reader相關漏洞 : 該公司共修補12個漏洞，為所有應用程式數量最多，而且，大多數被列為重大層級
5. Intel發布5月例新更新，修補人工智慧模型壓縮工具重大漏洞 | iThome : Intel發布5月份例行更新，總共公告41項漏洞，但特別的是，有別於過往公告主要都與處理器有關，這次最為危險的漏洞，存在於人工智慧模型壓縮工具Neural Compressor，被登記為CVE-2024-22476列管，該公司發布2.5.0版進行修補
6. QNAP NAS 15個漏洞僅有4個完成修補 : RCE CVE-2024-27130, an unauthenticated stack overflow bug, which allows remote-code execution
   2024/5/22 威聯通也在新聞稿中明確提出承諾：「未來，對於被分類為高或關鍵嚴重性的弱點，我們承諾在**45天**內完成修復並發布修復程式。對於中等嚴重性的弱點，我們將在90天內完成修復並發布修復程式。

科技相關

1. 密西根理工大學資工系的冼鏡光教授中文版的教材連結: 【冼鏡光並行計算講堂】: 中文版陸續更新中