2024.08-Note #7

閱讀時間約 6 分鐘

資安動態

  1. 駭客公開1,500萬名Trello用戶個資
  2. Google 最終決定不對 Chrome 內的第三方 cookie 開鍘: 2020 放風聲要取消第三方cookie搞半天,這個不確定因子這麼久,結果現在不放棄cookie了
  3. Let's Encrypt 想嘗試停止 OCSP 服務,以CRL 為主 : 主因是效能與privacy (洩漏Visitor 的IP) ?
  4. CrowdStrike大當機的省思,臺灣大型醫院學到這2件事: 開始評估雙備援機制的原主機和備援主機,是否應採用不同廠商的防護服務,以免廠商出事、備援主機仍無法作業
    a. 臺灣資安長將視CrowdStrike災後應變態度,作為是否採用的參考
    b. CrowdStrike 主張「Falcon」軟體條款責任限制在「已支付的費用」範圍內,故若本條款具強制力,至多向受影響的公司退還已支付的費用
    c. 達美航空據稱就網絡中斷向微軟和CrowdStrike索賠
    d. 大馬數位部長向微軟、CrowdStrike「索賠」
  5. PKfail安全啟動繞過漏洞恐衝擊數百萬設備,影響技嘉、Supermicro、Dell等9大業者: Secure Boot的主金鑰(在UEFI領域稱為平臺金鑰PK)竟然在不同廠商間發生大量共用的情況,影響將近900款產品,平臺金鑰應由裝置廠商自己產生與管理,並使用最高加密技術保護,並且遵循最佳實踐,但他們研究後發現,實際情形卻是:BIOS廠商在他們提供的參考程式碼,嵌入一把金鑰,並期望OEM或設備廠商會換掉它,但很多廠商沒有這樣做(PKFail是一個影響數百萬設備的韌體供應鏈問題,而且x86與ARM架構的裝置都受影響)
  6. 企業導入SBOM軟體物料清單有六大常見迷思 : SBOM常用的軟體資料交換格式包括SPDX、CycloneDX 和 SWIDX 三種。其中,SPDX由Linux基金會推動,也是ISO 5962的標準,是目前最多人使用的格式,並且支援多種資料格式,包含Tag/value、RDF/XML、JSON、yml、xls等。其次是由OWASP力擁的CycloneDX的格式。他也列出這三大SBOM格式 對應到美國NTIA的SBOM表的名稱。
  7. NIST CSF 2.0的7大重要改變

AI 動態

  1. 台新銀行與台灣人工智慧實驗室開發金融GPT「台新腦」: 「台新腦」是專為金融服務設計的FedGPT系統,匯集台新銀行內部的資料與知識庫,如金融法規與知識,進行訓練與驗證,是全球第一個以繁體中文因應全球法規對人工智慧於金融業高度監管下,建立可信任且負責任的大型語言模型
  2. 一個AI 搜尋引擎,EXA Search : 最近獲得了 1700 萬美元的 A 輪融資,類似的產品最近有 OpenAI 7/26發布的 SearchGPTPerplexityFelo Search,而這些產品的回應都會明確標註資訊來源,看來解決可靠性這一點,漸漸明朗了
  3. 微軟、Nvidia、英特爾及Google共創安全AI聯盟CoSAI安全AI聯盟(Coalition for Secure AI,CoSAI),這是一個開源倡議,計畫建立一個協作生態體系,以分享與AI安全設計有關的方法、標準化框架及工具
  4. 美國釋出用來評估AI安全的Dioptra平臺 iThome : NIST 上周釋出Dioptra 1.0,這是一個用來評估AI安全及可靠性的軟體測試平臺,它支援AI風險管理框架(AI RMF)的測量功能,可評估、分析及追蹤AI風險
  5. Mem0 開源專案爆紅,AI 將擁有超強記憶力 : 就是User 的個人活歷史,在對答中具備長短期記憶能力的技術,而 User曾輸入的文字、語音、圖片、檔案,它都是形成記憶的一部分,User 日後可要求回答任何回憶/偏好。有別於 ChatGPT需User主動。

程式語言/工具

  1. Do Not Upgrade to Any Version of MySQL After 8.0.37 : 如果建立大量的資料表(例如1萬個),MySQL 會在重新啟動時當機
  2. govulncheck release v1.1.3
  3. Docker揭露嚴重度高達10分資安漏洞,問題出在外掛程式AuthZ的身分驗證,而且經過5年才發覺 iThome : Docker揭露嚴重度高達10分資安漏洞,問題出在外掛程式AuthZ的身分驗證 (官網)

漏洞

  1. CVE-2024-41110 : Moby authz zero length regression(Docker AuthZ)
  2. Fixed in Apache v2.4.62 : 對 Apache HTTP Server 2.4.61 版核心中的 CVE-2024-39884 進行部分修復時,會忽略某些基於舊版內容類型的處置程式設定的使用。在間接要求檔案的某些情況下,AddType 和類似設定會導致本機內容的原始程式碼洩漏。例如,可能會提供而非解譯 PHP 指令碼。建議使用者升級至已修正此問題 2.4.62 版CVE-2024-40725

資安事件/公司被駭

  1. 環球晶6月遭駭 駭客本周宣告6天後公開被竊資料 : 駭客組織7月22日在暗網中公布,將於6天後公開環球晶被竊資料,這些資料容量大約1TB,內容涵括了財務、商業機密、人資、研發與工程師、員工以及客戶等6大類資料
  2. 宏盛:代重要子公司助群營造公告說明本公司發生網路資安事件
  3. 燦坤、燦星網 系統遭駭
  4. 光寶科伺服器遭駭客攻擊 將提升資安防護能力
  5. 內部通訊錄遭上網販售 移民署:不排除「離職員工」涉案 - 民視新聞網
  6. 駭客鎖定CrowdStrike Falcon全球大當機事故,佯稱提供自動復原工具來散布惡意軟體 iThome

科技動態

  1. Apple Maps 開放地圖網頁版 : 現在是 Beta 版,也有開放 JavaScript SDK: MapKit JS Apple Developer Documentation
  2. Google 宣布將在 2025 年 8 月 25 日全面終止 goo.gl 縮網址服務


avatar-img
3會員
16內容數
筆記本
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
subzero 的其他內容
資安動態 | 公司資安事件
AI PC 硬體 + AI OS + AI PC 摘要
2024.05.10 ~ 05.22 的資安動態
資安動態 | 公司資安事件
AI PC 硬體 + AI OS + AI PC 摘要
2024.05.10 ~ 05.22 的資安動態
你可能也想看
Google News 追蹤
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
Thumbnail
Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
今天剛好進場時間都差了一點,結果就差很多了,只能不斷停損,剛把握的賺錢單也沒有把握住,今天沒有被幸運女神眷顧。
Thumbnail
今日無操作。就檢視持股公布的3月營收是否有符合預期。
Thumbnail
美國3月就業市場顯示就業人數自去年10月以來逐月增長、失業率持穩,勞動參與率上升且新進職場人數續增。4/10(三)美國3月消費者通膨(CPI),4/11(四)美國3月生產者物價(PPI);4/12(五)盤後美國金融公司財報。
Thumbnail
美國3月非農就業報告5日公布,強於預期的就業報告,提高經濟軟著陸的機率,這份可能影響Fed貨幣決策的就業數據出爐,開始出現第二季零降息風險趨避,反應在十年期公債殖利率站穩4.4%....
Thumbnail
本周重點就是美國3月非農就業超預期新增30.3萬人,經濟數據一直偏好的情況下要Fed在六月或九月進行降息可能性降低,但這是矛盾的數據,也就代表目前市場還是很穩定,並沒有什麼大型的金融危機,所以也不用自己嚇自己,就算再升息幅度也不會到哪裡去了
Thumbnail
<04-08 盤勢規劃> 壓力區間 20417-20522 支撐區間 20081-20184
Thumbnail
日記果然要變成週記了,我了解自己的懶惰,下班回家懶懶地度過,或是去和阿嬤一起吃晚餐、一起看鄉土劇後再回家,平靜的日子大概就是這樣,沒有特別想記錄的,就不會來這裡寫日記了。 3/6 今天下班後和之前的主管組長大大和同事姐姐一起吃飯,加我只有三個人,我們吃了一家很好吃的義大利麵,然後大家聊一下自己最
題外話,剛好是International Women's Day,國際婦女節,是為了紀念婦女權利的運動。感謝從古至今所有女性為社會所做出的貢獻,不是指男性不重要,而是歷史沿革中,女性權利相較之下容易遭到輕忽、不平等。 前陣子從格友文章:婦女節的冷知識,您知道幾個呢? 讀到滿多婦女節故事,很值得一
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
Thumbnail
Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
今天剛好進場時間都差了一點,結果就差很多了,只能不斷停損,剛把握的賺錢單也沒有把握住,今天沒有被幸運女神眷顧。
Thumbnail
今日無操作。就檢視持股公布的3月營收是否有符合預期。
Thumbnail
美國3月就業市場顯示就業人數自去年10月以來逐月增長、失業率持穩,勞動參與率上升且新進職場人數續增。4/10(三)美國3月消費者通膨(CPI),4/11(四)美國3月生產者物價(PPI);4/12(五)盤後美國金融公司財報。
Thumbnail
美國3月非農就業報告5日公布,強於預期的就業報告,提高經濟軟著陸的機率,這份可能影響Fed貨幣決策的就業數據出爐,開始出現第二季零降息風險趨避,反應在十年期公債殖利率站穩4.4%....
Thumbnail
本周重點就是美國3月非農就業超預期新增30.3萬人,經濟數據一直偏好的情況下要Fed在六月或九月進行降息可能性降低,但這是矛盾的數據,也就代表目前市場還是很穩定,並沒有什麼大型的金融危機,所以也不用自己嚇自己,就算再升息幅度也不會到哪裡去了
Thumbnail
<04-08 盤勢規劃> 壓力區間 20417-20522 支撐區間 20081-20184
Thumbnail
日記果然要變成週記了,我了解自己的懶惰,下班回家懶懶地度過,或是去和阿嬤一起吃晚餐、一起看鄉土劇後再回家,平靜的日子大概就是這樣,沒有特別想記錄的,就不會來這裡寫日記了。 3/6 今天下班後和之前的主管組長大大和同事姐姐一起吃飯,加我只有三個人,我們吃了一家很好吃的義大利麵,然後大家聊一下自己最
題外話,剛好是International Women's Day,國際婦女節,是為了紀念婦女權利的運動。感謝從古至今所有女性為社會所做出的貢獻,不是指男性不重要,而是歷史沿革中,女性權利相較之下容易遭到輕忽、不平等。 前陣子從格友文章:婦女節的冷知識,您知道幾個呢? 讀到滿多婦女節故事,很值得一