2024.11 Note #15

更新於 2024/12/05閱讀時間約 7 分鐘

資安動態

  1. Google Cloud明年將強制執行多因素身分驗證
  2. 金融Fast-ID驗證轉接中心明年6月上線,先導機構預計達20家
  3. Hackers now use ZIP file concatenation to evade detection :用 ZIP 檔案串接技術躲避資安偵測隱藏木馬程式
  4. 零售業個資維護新規範出爐 6800家業者半年內需完成資安計畫 : 新修正的規範,凡是資本額達1000萬元以上,且有招募會員或可取得交易對象個資的特定商品零售業者,都必須在2025年5月12日前完成個資安全維護計畫。新規範要求企業必須提升密碼強度,並建立完整的網路安全防護機制。這包括定期更新病毒碼、設置防火牆、建立異常入侵偵測系統等。企業還需定期進行資安演練,確保安全機制的有效性。
  5. Android用戶注意!新木馬病毒專偷銀行存款 : 偽裝成熱門應用程式(App)的模樣以側載形式入侵裝置,繞過銀行的安全防線,登錄受害者帳戶後進行資金移轉,單筆轉帳金額高達1萬歐元,約新台幣34.5萬元。 該木馬能夠攔截用戶的一次性密碼(OTP)
  6. 網路安全!陸11/1起實施13項國家標準一次看:
    - 網路安全技術、軟體供應鏈安全要求: GB/T 43698—2024
    - 網路安全技術、零信任參考體系架構: GB/T 43696—2024
  7. 中國駭客入侵美國多家電信業者,T-Mobile傳出也受害 : 範圍及嚴重性都超越以往,是極為災難性的網路攻擊。駭客使用相當複雜的方法滲透美國電信基礎設施,其中一種便是利用思科路由器的漏洞,調查人員認為,對方仰賴人工智慧及機器學習,來從事網路間諜活動,並在部分基礎設施活動長達8個月以上的時間

漏洞

  1. HPE Aruba Networking修補Wi-Fi基地臺系統軟體漏洞 : 兩個被列為重大層級的漏洞CVE-2024-42509CVE-2024-47460,有機會讓攻擊者在未通過身分驗證的情況下,遠端執行任意程式碼 (CVSS風險評為9.8、9.0)
  2. 微軟發布11月例行更新,修補4個零時差漏洞,其中2個已被用於實際攻擊 : 26個權限提升漏洞、2個安全功能繞過漏洞、52個遠端程式碼執行(RCE)漏洞、1個資訊洩露漏洞、4個阻斷服務(DoS)漏洞,以及3個能被用於欺騙的漏洞
    CVE-2024-43639 : CVSS 9.8Windows Kerberos RCE
    CVE-2024-49039 : CVSS 8.8,Windows 工作排程器權限提升漏洞
    CVE-2024-49019:CVSS 7.8,Active Directory 憑證服務權限提升漏洞
    CVE-2024-43451 : CVSS 6.5,可利用驗證憑證的 NTLMv2 雜湊值雜偽裝成合法使用者,存取受害者有權限的應用程式和資料(使用者只要選取或檢視檔案就可能觸發此漏洞)
  3. PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, and 12.21 Released : fixes 4 security vulnerabilities and over 35 bugs ,CVE-2024-10979 (CVSS 8.8),也是 v12 進行修補的最後一次更新

程式工具

  1. Auth Wiki : 身份驗證、授權、身份和存取管理(IAM)相關的主要術語的明確定義
  2. Zed: 用 Rust 寫的Code Editor,現在只有 Linux 跟 Mac 版本(Windows 快釋出了)

AI 動態

  1. 用AI讓機器手臂打掃 : 利用 OpenAI 的 GPT-4o 模型叫機器手臂把桌子擦乾淨,用 4 天教會機器人手臂辨識醬油 (看起來沒擦很乾淨啊~)
  2. OpenAI Nears Launch of AI Agent Tool to Automate Tasks for Users : OpenAI 將在明年 1 月推出全新的 AI 代理工具:Operator,能代替用戶自動操作電腦,控制網頁瀏覽器,完成複雜的如預訂機票、撰寫程式等操作。
  3. Elon Musk 公開與 OpenAI 元老 Sam Altman, Ilya, Greg的 Email : 馬斯克回信很快
  4. Keras 的作者 François Chollet 宣布要從 Google 離職
  5. 微軟宣布推出 Copilot Actions,AI 自動幫你執行重複性任務
  6. Microsoft AI 執行長:2025 年 AI 擁有「永久記憶」: 6:57秒,2025 年,「永久記憶」的 AI 就會出現,他強調這會是 AI 發展的重要轉折點,成本大幅下降:以 Azure 模型為例,過去 2 年內成本已下降 99%。

科技動態

  1. 物聯網標準Matter 1.4出爐,智慧裝置可自動連結不同生態系統 : 強化的多平臺管理(Enhanced Multi-Admin)功能。傳統的多平臺管理功能中,使用者需要手動於每個平臺授權每一臺裝置,但隨著家中的智慧裝置愈來愈多,強化版本讓使用者只要授權一次,就能讓新裝置自動連結到不同的平臺
  2. 馬自達車上娛樂系統軟體漏洞可允許駭客執行任意程式碼 : 2014到2021年的Mazda 3,CMU是由美國汽車零組件製造商偉世通(Visteon)生產,內部軟體原始開發商則是江森自控(Johnson Controls Inc, JCI)
  3. 美國政府呼籲棄用 C/C++ : CISA 建議開發人員改用 Rust、Java、C#、Go、Python 和 Swift 等記憶體安全的程式語言。這些語言內建了記憶體保護機制,可以有效防止常見的記憶體相關錯誤,從程式碼層面提升安全性。
  4. VMware Fusion and Workstation are Now Free for All Users - VMware Cloud Foundation (VCF) Blog: Windows/Linux及macOS版桌機虛擬化軟體VMware Workstation Pro及Fusion Pro開放給所有人,包括企業和個人免費使用
avatar-img
4會員
19內容數
筆記本
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
subzero 的其他內容
資安動態 Sysadmins rage over Apple’s ‘nightmarish’ SSL/TLS cert lifespan cuts plot : 提案 SSL/TLS 憑證要再次縮短從 398天降到 45天(2027) => 各CA響應落實的話就是直接刺激 ACME 的重大 Tri
資安, AI, 最近的觀察
資安動態 Sysadmins rage over Apple’s ‘nightmarish’ SSL/TLS cert lifespan cuts plot : 提案 SSL/TLS 憑證要再次縮短從 398天降到 45天(2027) => 各CA響應落實的話就是直接刺激 ACME 的重大 Tri
資安, AI, 最近的觀察
你可能也想看
Google News 追蹤