2024.10 Note #13

資安動態

1. Sysadmins rage over Apple’s ‘nightmarish’ SSL/TLS cert lifespan cuts plot :
   提案 SSL/TLS 憑證要再次縮短從 398天降到 45天(2027) => 各CA響應落實的話就是直接刺激 ACME 的重大 Trigger
2. Adobe Content Authenticity: Adobe 即將推出內容憑證系統(free web app)來幫助創作者保護作品，內容憑證標示(nutrition label)添加到自己的作品上，並使用數位指紋、隱形浮水印、加密簽署(cryptographically signed metadata)的技術
3. Windows 11 24H2 更新讓使用 WD SSD 兩款 SSD 的電腦進入無限 BSOD
4. FIDO聯盟發表新規範以推動憑證可攜 : CXP(Credential Exchange Protocol)與(CXFCredential Exchange Format，CXF)這兩個規範草案定義了如何將憑證從一個憑證管理員安全地傳送到另一個憑證管理員(FIDO 官方文章)
5. Amazon將全面擁抱Passkey :
6. 行政院所屬各機關部分App未通過資安檢測，審計部促請改善 : 機關提供民眾下載使用之163個App，其中21個未通過資安檢測
7. 上海大學王潮率領的研究團隊在《計算機學報》發表論文〈基於D-Wave Advantage 的量子退火公鑰密碼攻擊算法研究〉的論文原文：新聞報導有誤，看論文原文是
   (1)無 AES
   (2)附錄數據最多到 50 bits RSA 整數分解(22bit, 50bits)
8. NHK追溯安洵外洩文件點名台灣 : 列出駭客似已攻破的80個海外目標，顯示他們取得了來自台灣的「人口數據」以及「道路信息數據」，包括「台灣各市的三維建築模型數據，以及台灣108、全台國道的3D和數據庫數據」(來自安洵信息（iSoon），是一家總部位於上海的中國企業，專門向中國政府部門、安全單位和國企出售第三方駭客所駭得內容和蒐集到的資料)
9. Sam Altman將加密貨幣公司Worldcoin更名為World Network : World Network的三大關鍵支柱為World Chain、World ID與Worldcoin。World ID 3.0則是新一代的數位身分，它導入World ID Credentials功能，允許World ID用戶於World App中存放支援NFC的護照
10. 美國傳出多起掃地機器人遭駭事件，開始追人跑、罵髒話 : 駭客能在超過 100 公尺的距離內完全控制掃地機器人，包括其鏡頭頭和麥克風

公司受駭/資安事件

1. 駭客兜售聲稱竊自思科的開發、憑證資料，可能殃及微軟、AT&T : 握有思科的資料類型包括GitHub與GitLab專案、程式原始碼、思科機密檔案、產品檔案、憑證、API token、公私鑰、客服資料，以及在Azure、AWS等數十類，似乎大部份與開發專案相關。攻擊者是先駭入思科使用的某家第三方DevOps與軟體開發平臺，再藉此存取思科系統和資料
2. 奧丁丁雲端儲存庫配置不當，76萬臺灣旅客訂房資料曝險 : 臺灣區塊鏈旅宿平臺業者奧丁丁（OwlTing）雲端儲存庫配置不當未做好防護，導致約7萬訂房旅客包含姓名、電子郵件信箱位址曝露在公開網際網路上(超過16.8萬份CSV及XLSX格式文件，內容則是76.5萬名客戶的個資，包括全名、電話號碼、約3,000名消費者的電子郵件，以及飯店訂房資訊)
3. 美利達工業部份郵件系統使用者帳號遭駭
4. 顧立雄、將官及情報員財產個資外流 恐害人身安全 : 上校階以上到所有將官、參謀總長、部長顧立雄等個資全都流出，但更嚴重的是，所有軍情局情報人員個資(真名)也全數外流，恐引發情報人員身分曝光危害人身安全，國防部獲悉後已緊急回收並進行損害控管

程式工具

1. microsoft sbom-tool v3.0.1

漏洞

1. Spring- Path traversal vulnerability :  CVE-2024-38819 ( similar to CVE-2024-38816, but with different input) 已釋出 Fix version
2. Grafana修補重大漏洞，嚴重程度直逼滿分 : 漏洞CVE-2024-9264，Grafana發布資安公告，指出旗下11.0.x、11.1.x、11.2.x存在重大層級的漏洞CVE-2024-9264，此為SQL表達式（SQL Expressions）造成的命令注入及本機檔案包含（Local File Inclusion，LFI）弱點，CVSS風險評分達到9.9（滿分10分），開發團隊發布相關修補程式
3. Kubernetes映像檔製作工具存在重大漏洞: Image Builder 漏洞 CVE-2024-9486、CVE-2024-9594，攻擊者有可能藉此得到虛擬機器（VM）的root權限

AI 動態

1. A matter of taste: Electronic tongue reveals AI inner thoughts: AI除了能看/聽/讀之外，現在有 AI的電子舌頭，可以品嘗味覺
2. Tesla 發表無人計程車 Cybercab：拿掉方向盤跟踏板，最快2026量產，無人計程車計畫 Robotaxi，能讓車主將自己的 Tesla 加入共享車隊，讓車輛不被使用時，也能替車主創造收入
3. 清華大學用一顆光子造出全世界最小量子電腦
   a. 在一條環狀光纖 + 一顆光子的光量子電腦來完成質因數分解等複雜的數學運算，如15=5x3。這是全世界首次以一顆高維度、也就是多次元的光子來實現量子演算法
   b. 可在室溫下操作，不需要極低溫環境，耗能少，成本也較低。此外，光子可以長距離傳輸，不易受干擾

科技動態

1. SpaceX 成功用「筷子」接住火箭推進器 : 這不是回放影片. 此技術能進一步壓低發射成本並加快發射進度
2. 避免Windows 11升級出現問題，微軟建議最好的方法是買台新電腦