2024.09 Note #10

更新於 2024/12/05閱讀時間約 6 分鐘

資安動態

  1. 新的 QR 碼網路釣魚活動(利用 Microsoft Sway) : 攻擊者利用 Microsoft Sway 托管假頁面,通過 QR 碼將用戶重定向到釣魚網站(目的是竊取受害者的Microsoft 365帳號)
  2. New Eucleak attack lets threat actors clone YubiKey FIDO keys : Yubico旗下FIDO裝置,透過 side-channel 取得 ECDSA 金鑰(create a clone of the FIDO device)
  3. FreeBSD得到STF近69萬歐元 : 重點在5點改善 1) Zero Trust Builds 2) CI/CD Automation 3) Reduce Technical Debt 4) Security Controls 5) SBOM Improvements
  4. 中國駭客Earth Lusca打造跨平臺後門KTLVdoor: 以Go語言打造而成的跨平臺後門程式KTLVdoor,此惡意程式駭客經過高度混淆偽裝成各式公用程式,例如:sshd、java、sqlite、bash、edr-agent

程式工具/

  1. [security] Go 1.23.1 and Go 1.22.7 釋出 :  3 security fixes 
    a. go/parser :  CVE-2024-34155 
    b. encoding/gob: CVE-2022-30635
    c. go/build/constraint: CVE-2024-34158
  2. microsoft sbom-tool v2.2.8
  3. 開源專案 Poku : JavaScript 的單元測試工具,號稱性能比 Vitest, Jest, Mocha 更好
  4. JavaScript 打包工具 Rspack 正式推出 v1.0 : 用 Rust 寫的,速度比 Webpack 快超過十倍 ( 注意: 由字節跳動所開源 !?)
  5. Elastic與AWS授權爭議落幕,Elasticsearch重新提供開源授權 : Elasticsearch除了SSPL和ELv2雙授權,現增加開源授權AGPL新選項 (授權爭議後轉往AWSOpenSearch是不是來不及了? )
  6. Docker-OSX映像檔儲存庫遭蘋果要求移除: 在Docker上安裝macOS測試的Docker-OSX映像檔儲存庫,上周遭到蘋果以侵犯著作權的理由,要求移除

漏洞

  1. D-Link旗下路由器設備DIR-846W存在4個嚴重的RCE漏洞: 其中3個可在未經身分驗證的情況下利用,9月1日D-Link發布資安公告證實確有此事,但因為這款設備已於2020年終止支援(EOS),他們不會進行修補,呼籲用戶應停止使用。(CVE-2024-41622CVE-2024-44340CVE-2024-44341,以及CVE-2024-44342,CVSS風險評分介於8.8至9.8)
  2. Red Hat Satellite 生命週期管理軟體身份驗證繞過漏洞(Foreman) : CVE-2024-7012 ,CVSS score : 9.8,影響所有活躍的 Red Hat Satellite 部署版本,包括 6.13、6.14 和 6.15
  3. Apache基金會修補ERP系統OFBiz重大風險漏洞: ERP系統OFBiz漏洞CVE-2024-45195(CVSS 9.8),並指出該漏洞能夠被用來繞過今年Apache基金會修補的3項弱點CVE-2024-32113、CVE-2024-36104、CVE-2024-38856
  4. Kibana存在重大漏洞,可被用於執行任意程式碼 : Kibana安全性更新8.15.1版,修補2項重大層級的漏洞CVE-2024-37288、CVE-2024-37285
  5. Microsoft SQL Server 權限提高弱點 : CVE-2024-37980,CVSS: 8.8

公司被害/資安事件

  1. 勞發署出包!484部硬碟資料「一夕消失」 疑工程師輸錯代碼 : 資產管理系統下達指令中的 *.exe誤鍵為 * .exe(星號 * 後面多一個空白字元)
  2. 台灣三洋電機遭駭 :
  3. 駭客入侵農業部監視器 直播國軍部隊動態
  4. 世鎧 遭受加密攻擊

AI 動態

  1. Google: Project Green Light(綠燈計畫): 這篇文章(How Google uses AI to reduce stop-and-go traffic on your route — and fight fuel emissions) 說明了如何利用AI來優化交通號誌的計劃
    (a) 目的 : 減少停停走走的交通 + 降低燃油排放(預計減少10%)
    (b) 利用 Google Maps 數據 + AI 模型分析:AI 模型會測量交通流量,包括啟動和停止的模式、平均等待時間以及相鄰十字路口之間
    (c) 現有數據,無需投資新的軟硬體
    (d) 顯著減少停車次數: 次數減少高達 30%
  2. 數位部擬於12月提出公務機關AI應用指引,要教機關評估AI工具、專案管理及做好風險控管
  3. Lawsnotes QA : 法律界的Google,過去 AI 的幻覺問題,在法律層面是不可接受的,Lawsnote 利用搜尋檢索的技術整合LLM 變成Perplexity, FeloSearch 的法律版

科技動態

  1. 桌機版Chrome瀏覽器終於能用Google Lens 智慧鏡頭,免鏡頭也能快速辨識


avatar-img
4會員
19內容數
筆記本
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
你可能也想看
Google News 追蹤
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
在現今數位時代,網路安全已成為企業和個人必須面對的首要挑戰。隨著網路犯罪活動的日益猖獗,如何有效地保護敏感資訊並確保網絡環境的安全,成為每個組織和個人不可忽視的重要課題。本文將帶你了解如何利用先進的監控軟體來提升資訊安全,為您提供全面的解決方案。
Thumbnail
假網站攻擊近10年一直是全球銀行業的頭痛問題,過去發卡機構也致力去防止因為日漸盛行的網上購物而引發的騙財技倆。 有一定年資的網購使用者,對於使用保安編碼器會有點印象,但成本太高,而且每天要帶着外出也十分不便(也容易出現遺失的風險),近年智能手機普及,很多銀行已經轉用mobileapp作為主要保安編
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
在現今數位時代,網路安全已成為企業和個人必須面對的首要挑戰。隨著網路犯罪活動的日益猖獗,如何有效地保護敏感資訊並確保網絡環境的安全,成為每個組織和個人不可忽視的重要課題。本文將帶你了解如何利用先進的監控軟體來提升資訊安全,為您提供全面的解決方案。
Thumbnail
假網站攻擊近10年一直是全球銀行業的頭痛問題,過去發卡機構也致力去防止因為日漸盛行的網上購物而引發的騙財技倆。 有一定年資的網購使用者,對於使用保安編碼器會有點印象,但成本太高,而且每天要帶着外出也十分不便(也容易出現遺失的風險),近年智能手機普及,很多銀行已經轉用mobileapp作為主要保安編