2024.08 Note #9

資安動態

1. Windows 11 24H2將預設啟用BitLocker裝置加密 : Tom's Hardware報導，啟動BitLocker的機器固態硬碟效能最高減速45%(由於在BitLocker加解密過程會牽涉CPU，系統效能也將受影響)
2. 安全更新引發大當機，CrowdStrike傳有意買下修補程式管理新創Action1改善軟體開發流程
3. Apple memory holed its broken promise for an OCSP opt-out : 當 User啟動APP時，macOS 會連接到 Apple 自己的 OCSP 服務，以檢查應用程式的 CERT 是否被撤銷? 但 OCSP 服務會記錄訪問的 IP (隱私問題)。Apple 曾承諾停止記錄這些 IP 地址，目前看起來是仍會繼續
4. 輸入「 “”」這 4 個字元就能讓 iPhone 當機
5. 微軟8月更新讓Linux於雙重啟動系統中失效
6. 惡意軟體Sedexp潛入Linux裝置管理器，意圖透過遭潛入的網頁伺服器竊取信用卡資料 iThome

程式語言/工具

1. W3C : Third-party cookies have got to go : W3C 因為第三方 cookies 帶來的隱私問題發表立場表示 堅定反對繼續使用
2. google osv-scanner Release v1.8.4
3. Go 1.23 Release Notes
4. JSON Crack :即時將 JSON 資料轉換為視覺化結構，幫助使用者快速理解複雜的 JSON 內容

漏洞

1. Google釋出Chrome 128，修補已遭攻擊的V8漏洞 : 修補了38個安全漏洞，包括一個已遭駭客利用的CVE-2024-7971漏洞
2. 微軟Copilot Studio存在SSRF漏洞，攻擊者有機會存取內部敏感資料 : CVSS風險評分為8.5，微軟於8月6日已完成修補
3. WordPress外掛程式LiteSpeed Cache重大層級的權限提升漏洞CVE-2024-28000提出警告: 攻擊者一旦能夠存取用於除錯的事件記錄資料，挖掘所需的雜湊值，或是透過暴力破解的方法，就有機會將使用者ID設置為管理員ID。攻擊者可在未經授權的情況下，將使用者ID置換為管理員ID，然後利用特定的REST API端點建立具備管理員身分的新帳號
4. 臺灣有大學遭到PHP漏洞攻擊，駭客在受害主機植入後門程式 : 2個月前揭露的重大層級PHP漏洞CVE-2024-4577出現了實際攻擊行動

公司被駭/資安事件

1. 豐田美國分公司遭駭客公布公司資料-Toyota :豐田汽車美國分公司的資料240GB。駭客稱，這些資料包含員工和客戶聯絡資料、合約、財務、相片、電子郵件、資料庫、以及網路基礎架構等資料240GB。駭客並提供開源工具AD-Recon以檢視需要密碼的網路資料

AI 動態

1. regexgpt: 輸入一個範例+一個預期的結果，或補充說明(optional)，就可以產出各種語言的正則表達式
2. Vision-Agent : 針對影像處理和計算機視覺任務的自動產生程式碼工具(開源)，根據輸入的 prompt，產生出對應需求的影像辨識程式碼。內建了多種視覺辨識的工具框架程式碼，利用這些工具可以完成特定的視覺任務的程式碼(自動產出)
   例如: 產出監控影片中是否有小孩靠近泳池 ? 影像中有多少物體(算數)、分類、分析、生產線品管(自動化圖像整理和標記)
   (傳統上沒學過影像處理的無法寫出這類程式碼，現在只要用說的就可以快速完成，大大簡化了開發流程)
3. 9歲記帳 : 一個很小男孩暑假發表了 9歲記帳 APP，在GitHub/CEOShow 開源，常在臉書分享從今年 5/14到8/14自學xcode/python，並且透過AI工具輔助開發例如 Claude AI + ChatGPT+ AI Icon Generator (Perchance)，開發過程中的問題與發想也有用podcast 做紀錄分享(完全不記得我9歲時在幹嘛)，但是看到這麼小的開發者，聯想到這2年看到的概念(home-cooked software, barefoot developers)，因為AI的關係，大大降低了開發APP的門檻，會出現很多基於熱心解決小問題而產出的 APP，這類 APP可以解決的問題的瓶頸，在於 AI 有多強大(看看上頭的 Vision-Agent)，工具越強，開發者所具備的專業知識不一定要受過訓練，可以這麼說嗎!?
4. Deepfake Deep-Live-Cam只需一張照片，任何人都可以在視訊聊天中冒充你 :
   (a). 8 月 9 日晚到 8 月 10 日早晨突然在 GitHub 上爆火。僅使用一張他人的照片，就能實現在直播中的即時換臉
   (b). 預防措施：開發者已經考慮到可能的不道德應用，內建檢查機制，防止如裸露、暴力內容等
   (c). 支持即時臉部替換，並提供即時預覽功
5. Google 前執行長施密特於史丹佛大學受訪的影片 :
   (a) 未來兩年趨勢: (1) 接近無限制的上下文輸入 (2) AI 助理 (3) Text To Action ()
   (b) 新創公司如果無法在一天之內打造 MVP ，那他們要思考如何競爭
   (c) PRD (Product Requirement Document) : 精準的描寫與定義每個功能，交給 LLM 讓它生成第一版的 MVP
6. Zomato 宣布禁用 AI 生成的食品圖片

科技動態

1. Android Developers Blog Adding 16 KB Page Size to Android : 因為 ARM 有支援 16KB Page Size，Android 規劃從4KB Page Size 提升至16KB 預期效能會增加不少。( 開發者需重新編譯APP 預期會有  5-10% 的整體效能提升)
2. The European Union must keep funding free software : 歐盟的Horizon計劃中，對於自由開源軟體(FOSS)的資金支援在2025年的提案中幾乎消失，這一篇文章呼籲歐洲聯盟（EU）繼續資助自由軟體
3. Windows FAT32 檔案系統，終於突破最大32GB 的大小限制，放寬到2TB
4. for ex-googlers - a lookup table of similar tech & services : Google 內部使用工具與外部工具的對照表