2024.11 Note #15

資安動態

1. Google Cloud明年將強制執行多因素身分驗證
2. 金融Fast-ID驗證轉接中心明年6月上線，先導機構預計達20家
3. Hackers now use ZIP file concatenation to evade detection ：用 ZIP 檔案串接技術躲避資安偵測隱藏木馬程式
4. 零售業個資維護新規範出爐 6800家業者半年內需完成資安計畫 : 新修正的規範，凡是資本額達1000萬元以上，且有招募會員或可取得交易對象個資的特定商品零售業者，都必須在2025年5月12日前完成個資安全維護計畫。新規範要求企業必須提升密碼強度，並建立完整的網路安全防護機制。這包括定期更新病毒碼、設置防火牆、建立異常入侵偵測系統等。企業還需定期進行資安演練，確保安全機制的有效性。
5. Android用戶注意！新木馬病毒專偷銀行存款 : 偽裝成熱門應用程式（App）的模樣以側載形式入侵裝置，繞過銀行的安全防線，登錄受害者帳戶後進行資金移轉，單筆轉帳金額高達1萬歐元，約新台幣34.5萬元。 該木馬能夠攔截用戶的一次性密碼（OTP）
6. 網路安全！陸11／1起實施13項國家標準一次看:
   - 網路安全技術、軟體供應鏈安全要求: GB／T 43698—2024
   - 網路安全技術、零信任參考體系架構: GB／T 43696—2024
7. 中國駭客入侵美國多家電信業者，T-Mobile傳出也受害 : 範圍及嚴重性都超越以往，是極為災難性的網路攻擊。駭客使用相當複雜的方法滲透美國電信基礎設施，其中一種便是利用思科路由器的漏洞，調查人員認為，對方仰賴人工智慧及機器學習，來從事網路間諜活動，並在部分基礎設施活動長達8個月以上的時間

漏洞

1. HPE Aruba Networking修補Wi-Fi基地臺系統軟體漏洞 : 兩個被列為重大層級的漏洞CVE-2024-42509、CVE-2024-47460，有機會讓攻擊者在未通過身分驗證的情況下，遠端執行任意程式碼 (CVSS風險評為9.8、9.0)
2. 微軟發布11月例行更新，修補4個零時差漏洞，其中2個已被用於實際攻擊 : 26個權限提升漏洞、2個安全功能繞過漏洞、52個遠端程式碼執行（RCE）漏洞、1個資訊洩露漏洞、4個阻斷服務（DoS）漏洞，以及3個能被用於欺騙的漏洞
   CVE-2024-43639 : CVSS 9.8，Windows Kerberos RCE
   CVE-2024-49039 : CVSS 8.8，Windows 工作排程器權限提升漏洞
   CVE-2024-49019：CVSS 7.8，Active Directory 憑證服務權限提升漏洞
   CVE-2024-43451 : CVSS 6.5，可利用驗證憑證的 NTLMv2 雜湊值雜偽裝成合法使用者，存取受害者有權限的應用程式和資料(使用者只要選取或檢視檔案就可能觸發此漏洞)
3. PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, and 12.21 Released : fixes 4 security vulnerabilities and over 35 bugs ，CVE-2024-10979 (CVSS 8.8)，也是 v12 進行修補的最後一次更新

程式工具

1. Auth Wiki : 身份驗證、授權、身份和存取管理（IAM）相關的主要術語的明確定義
2. Zed: 用 Rust 寫的Code Editor，現在只有 Linux 跟 Mac 版本(Windows 快釋出了)

AI 動態

1. 用AI讓機器手臂打掃 : 利用 OpenAI 的 GPT-4o 模型叫機器手臂把桌子擦乾淨，用 4 天教會機器人手臂辨識醬油 (看起來沒擦很乾淨啊~)
2. OpenAI Nears Launch of AI Agent Tool to Automate Tasks for Users : OpenAI 將在明年 1 月推出全新的 AI 代理工具：Operator，能代替用戶自動操作電腦，控制網頁瀏覽器，完成複雜的如預訂機票、撰寫程式等操作。
3. Elon Musk 公開與 OpenAI 元老 Sam Altman, Ilya, Greg的 Email : 馬斯克回信很快
4. Keras 的作者 François Chollet 宣布要從 Google 離職
5. 微軟宣布推出 Copilot Actions，AI 自動幫你執行重複性任務
6. Microsoft AI 執行長：2025 年 AI 擁有「永久記憶」: 6:57秒，2025 年，「永久記憶」的 AI 就會出現，他強調這會是 AI 發展的重要轉折點，成本大幅下降：以 Azure 模型為例，過去 2 年內成本已下降 99%。

科技動態

1. 物聯網標準Matter 1.4出爐，智慧裝置可自動連結不同生態系統 : 強化的多平臺管理（Enhanced Multi-Admin）功能。傳統的多平臺管理功能中，使用者需要手動於每個平臺授權每一臺裝置，但隨著家中的智慧裝置愈來愈多，強化版本讓使用者只要授權一次，就能讓新裝置自動連結到不同的平臺
2. 馬自達車上娛樂系統軟體漏洞可允許駭客執行任意程式碼 : 2014到2021年的Mazda 3，CMU是由美國汽車零組件製造商偉世通（Visteon）生產，內部軟體原始開發商則是江森自控（Johnson Controls Inc, JCI）
3. 美國政府呼籲棄用 C/C++ : CISA 建議開發人員改用 Rust、Java、C#、Go、Python 和 Swift 等記憶體安全的程式語言。這些語言內建了記憶體保護機制，可以有效防止常見的記憶體相關錯誤，從程式碼層面提升安全性。
4. VMware Fusion and Workstation are Now Free for All Users - VMware Cloud Foundation (VCF) Blog: Windows/Linux及macOS版桌機虛擬化軟體VMware Workstation Pro及Fusion Pro開放給所有人，包括企業和個人免費使用