2024.09 Note #11

更新於 2024/12/05閱讀時間約 7 分鐘

資安動態

  1. RFC 9608-No Revocation Available for X.509 Public Key Certificates :
    - 透過新增的 noRevAvail 擴充欄位,可以得知輕易確定 CA 不會發布該憑證的撤銷資訊
    - 需更新 RFC 5280 中的 Certification Path Validation 如果存在 noRevAvail 時需跳過 revocation checking,且 OCSP 欄位與 CRL 欄位不得存在,違反則視為無效的 X.509 憑證
    - 適用於 (1) Short-lived certificates: 有效期通常比檢測/報告/分發撤銷信息所需的時間更短 (2) long-lived certificates: 從不過期從不撤銷,例如 設備 idevid憑證
  2. Microsoft ends development of Windows Server Update Services (WSUS): 微軟不再投資於新功能,也不再接受 WSUS 的新功能請求,同時,微軟也宣佈將停止 Windows & Windows Server 的 NTLM 驗證 (Windows Server 2025中依然可使用WSUS,但建議使用者遷移到Windows Autopatch、Microsoft Intune或Azure Update Manager 等雲端工具)
  3. Google Password Manager跨平臺同步Passkey : 可透過 Android 與 Chrome 瀏覽器中的 Google Password Manager 存放通行密鑰(Passkey),並將 Passkey 同步到不同的平臺上使用,包括 Windows、macOS 與 Linux 等,同時也新增了 Google Password Manager PIN 來保護通行密鑰
  4. Chrome 瀏覽器採用 NIST 認可的 ML-KEM 量子加密技術: 緩解「先儲存再破解」的威脅,更新將在 Chrome 131 版本(目前版本是 128)中實施,預計在 2024 年 11 月 6 日推出
  5. Citrine Sleet上傳惡意Python套件,意圖散布RAT木馬PondRAT: 於PyPI上傳惡意Python套件real-ids、coloredtxt、beautifultext、minisound,一旦開發人員上當,在開發環境部署,有可能被植入惡意軟體PondRAT
  6. 美國商務部提議禁止中國與俄羅斯的連網汽車硬體及軟體 : 連網汽車的好處,提高行車安全到司機導航,新威脅是 : 控制車輛的移動,蒐集敏感的司機與乘客資料,蒐集自駕車配備的攝影機及感應器資料,並記錄詳細的美國基礎設施資訊

程式工具

  1. Why did OpenAI move from Next.js to Remix ? ChatGPT的網站本來是用Next.js撰寫,現在轉移到Remix的技術,原因很多如: Remix 更加注重CSR、強大的路由系統、性能有顯著提升...
  2. microsoft sbom-tool v2.2.9
  3. google osv-scanner v1.8.5

公司被駭/資安事件

  1. 親俄駭客對臺網站發動DDoS攻擊,4天之內已有45起事故 : 中租控股、兆豐金控、彰化銀行發布重大訊息,表示他們的網站遭遇DDoS攻擊
  2. 130萬臺Android電視機上盒遭植入後門程式
  3. 殭屍網路Quad7鎖定兆勤VPN設備、Ruckus無線路由器而來

漏洞

  1. Adobe修補Acrobat可造成任意程式碼執行的重大漏洞 : CVE-2024-41869CVE-2024-45112,Tenable 公告 CVSSv3 為 9.8
  2. GitLab修補重大層級的管道執行漏洞 : 發布社群版(CE)及企業版(EE)17.3.2、17.2.5、17.1.7版更新,總共修補17個漏洞,其中最值得留意的是被列為重大層級的CVE-2024-6678,此漏洞影響8.14以後的版本,允許攻擊者在特定的環境下,以任意使用者觸發自動化工作Pipeline機制,CVSS風險評為9.9分
  3. Gitlab SAML 認證繞過漏洞 : GitLab Critical Patch Release: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
  4. Docker修補電腦版應用程式RCE漏洞 : 高風險層級的漏洞CVE-2024-8695CVE-2024-8696,攻擊者可濫用惡意延伸套件,而有機會遠端執行任意程式碼(RCE),4.0版CVSS風險評分為9.0、8.9
  5. Grafana修補軟體開發套件資訊洩露漏洞:)grafana-plugin-sdk-go,存在重大層級的資訊洩露漏洞CVE-2024-8986,0.249.0版及之前版本都受到影響,4.0版CVSS風險評分達到9.1,開發團隊目前已發布0.250.0版進行修補
  6. Spring Path traversal vulnerability in functional web frameworks : CVE-2024-38816,特定條件下可目錄遍歷漏洞
  7. D-Link修補Wi-Fi路由器高風險漏洞 : 5項漏洞 CVE-2024-45694CVE-2024-45695、CVE-2024-45696、CVE-2024-45697、CVE-2024-45698,CVSS風險評分介於8.8至9.8,他們發布新版韌體予以修補

AI 動態

  1. PDF2Audio : PDF2Audio 麻省理工學院 (MIT) 的 LAMM 開發的一款開源工具,專門將 PDF 文件轉換成音訊檔案(多語言支援)
  2. The Intelligence Age: OpenAI 執行長奧特曼罕見發表長文,「超級AI有可能在未來幾千天內問世」,重點在如何降低算力成本建立AI基礎設施
  3. AI 激勵市場,將核電推向能源清單 : GPU轉向核能,如果 HPC 和 AI 的增長繼續下去,必須將核電選項納入這個等式中,14 家主要的全球銀行和金融機構表示支援到 2050 年將核能增加兩倍 (微軟亦擁抱核能,微軟不是唯一一間)

科技動態

  1. These Hi-Tech Bifocals Improved My Eyesight but Made Me Look Like a Huge Dork: 這間日本新創推出 ViXion01自動對焦眼鏡,可根據物體距離自動調整鏡片,確保視野清晰,電池壽命約10小時


avatar-img
4會員
19內容數
筆記本
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
你可能也想看
Google News 追蹤
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
在今日數位化的世界中,保護資料的安全性尤為重要。加密憑證(SSL/TLS Certificates)扮演著確保網站和用戶之間資料傳輸安全的重要角色。本文將深入探討加密憑證的原理、作用以及如何選擇適合的加密憑證來保護您的網站。 1. 加密憑證的基本概念 加密憑證是一種數位檔案,用於證明網站身份的真
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
在今日數位化的世界中,保護資料的安全性尤為重要。加密憑證(SSL/TLS Certificates)扮演著確保網站和用戶之間資料傳輸安全的重要角色。本文將深入探討加密憑證的原理、作用以及如何選擇適合的加密憑證來保護您的網站。 1. 加密憑證的基本概念 加密憑證是一種數位檔案,用於證明網站身份的真