資安動態
- Let's Encrypt 開始把 CRL 加到憑證中 : Adding CRL URLs to certificates ,目前簽出來的憑證會包括OCSP 與新簽的 CRL,5月份則會移除 OCSP
- 刑事局偵破中國籍羅姓駭客「Crazyhunter」入侵我國多家醫院、學校以及上市公司 : 114-04-02 經刑事局科技犯罪防制中心綜整並分析多起案件之入侵來源IP、手法以及惡意程式等資訊,證實駭客「Crazyhunter」之真實身分為中國大陸浙江省籍男子羅○○
- VMware 提告工業巨頭西門子使用盜版軟體達數千份:
- 西門子德國總公司揭露其已下載、複製、散布並部署了數千份從未購買授權的 VMware 產品
- 抗拒 VMware 對西門子進行稽核,以及在其系統上執行腳本以確認西門子正在運行多少 VMware 軟體 - 違規裝Zoom、小米軟體 北市府公務電腦恐成資安漏洞
- 散布挖礦軟體的惡意VSCode延伸套件下載百萬次: 10個惡意VSCode擴充套件,這些套件總共已被下載超過100萬次,一旦開發人員不慎安裝,電腦就有可能被植入挖礦程式XMRig
- 開始橫向移動:此指令碼停用Microsoft Update更新機制、於Microsoft Defender設置白名單資料夾,並建立工作排程、提升權限,最終部署XMRig - CA/Browser Forum在今年3月正式實施HTTPS憑證新安全要求 :
- MPIC,多方發行驗證(Multi-Perspective Issuance Corroboration: 不是僅從單一地理或路由有利位置來執行網域控制的驗證,而是藉由多個不同的地理位置或多個網路服務供應商來執行同樣的驗證,降低因路由攻擊而錯誤頒發憑證的可能性
- 憑證檢查(Linting): 自動化流程,用於分析憑證以偵測及防止錯誤、不一致或不合標準的情況,確保憑證的格式正確,並包含其預期用途所需的必要資料,例如網站驗證
- 社群網站X驚傳28億用戶資料外洩: 名為ThinkingOne的人士於駭客論壇上聲稱握有28億筆社群網站推特(X)用戶詳細資料,資料量達到400 GB
- 臺灣今年將推出PQC遷移指引,預計4月臺灣資安大會發布 : 未來四年(2025年到2028年)的推動策略可循序漸進,逐年設定目標:首先從PQC簽章軟硬體方案的「技術驗證」起步,接續推動電子簽章與IoT應用場景的「應用驗證」,進一步擴展至製造、通訊、醫療、移動裝置與安控等產業的「場域驗證」,再邁向「產品驗證」。
- 全球居易路由器傳出不斷重開機事故,該公司後來鬆口證實是漏洞攻擊:
工具
- google/osv-scanner v2.0.1:
支援 dependencies from .NETpackages.configpackages.lock.json
支援 dependencies from rust binaries
漏洞
- 日本CSIRT揭露 WinRAR含有可繞過微軟MotW安全警告的漏洞 : CVE-2025-31334,可繞過微軟內建於Windows平臺上的Mark of the Web(MoTW)安全機制,讓使用者無意間執行惡意程式 ,3/24日 WinRAR 7.11fix
- Go 緊急釋出 1.24.2 和 1.23.8: CVE-2025-22871 , CVSS: 9.1,區塊內文必須一律使用 CRLF 行結束字元 net/http package improperly accepts a bare LF as a line terminator in chunked data chunk-size lines. This can permit request smuggling if a net/http server is used in conjunction with a server that incorrectly accepts a bare LF as part of a chunk-ext.
- GitLab Patch Release: 17.10.1, 17.9.3, 17.8.6 :
- XSS through merge-request error messages CVE-2025-2255 8.7
- XSS through improper rendering of certain file types CVE-2025-0811 8.7
- Admin Privileges Persists After Role is Revoked CVE-2025-2242 7.5
- Kibana 8.16.4 and 8.17.2 Security Update: CVE-2024-12556 , CVSS :8.7
Affected Versions: Kibana v8.16.1 up to and including 8.17.1 (PATCH) - Vite 前端建置工具: CVE-2025-31125 , Arbitrary File Read Vulnerability
- Elasticsearch 8.15.1 Security Update : CVE-2024-52980 , CVSS: 6.5
Affected Versions: versions 7.17.0 to 8.15.0 , (PATCH) - Canon印表機存在重大層級漏洞 :RCE,多款多功能事務機及雷射印表機驅動程式存在重大風險漏洞,可能讓攻擊者執行任意程式碼。 Canon呼籲企業從本地Canon銷售團隊網站取得最新印表機驅動程式,並建議用戶安裝最新版本
CVE-2025-1268 ,CVE-2025-1268 CVSS風險值達9.4 - Linux與嵌入式系統用戶注意!三大系統開機載入器記憶體緩衝區溢位漏洞: 即便受害者重新安裝作業系統,或是更換硬碟,仍有可能無法清除相關威脅 微軟找到的GRUB2漏洞最多,有11個,Barebox、U-boot分別有5個、4個。其中,GRUB2大部分漏洞為中度風險層級,但有1個例外特別值得留意,這個漏洞被登記為CVE-2025-0678,出現在檔案系統Squash4,為記憶體緩衝區溢位弱點,CVSS風險為7.8分
- Active Directory Domain Services Elevation of Privilege Vulnerability : CVE-2025-29810 , CVSS: 7.5 (Windows 10, Windows Server 2019, Windows Server 2022 Windows Server 2025 ....)
- Visual Studio Elevation of Privilege Vulnerability : CVSS 7.3 An attacker who successfully exploited this vulnerability could gain the privileges of the authenticated user
- Microsoft AutoUpdate (MAU) Elevation of Privilege Vulnerability : CVSS 7.8 Incorrect default permissions in Microsoft AutoUpdate (MAU) allows an authorized attacker to elevate privileges locally.
AI 動態
- Ai2 Paper Finder : 讓 AI 模擬思考過程,跑一遍整個找論文的過程的結果清單,還會解釋每篇論文為什麼會被挑出來
- Google發表鎖定資安的AI模型Sec-Gemini v1 : 模型建立在Gemini模型之上,同時整合了Google威脅情報、OSV漏洞資料庫,以及Mandiant威脅情報,並免費提供給特定的組織、機構、專家,以及非政府組織以供研究之用,並已開放申請
- Amazon Nova Act :Nova Act,能夠獨立操控網頁瀏覽器執行多步驟任務,表現超越 Claude 3.7 Sonnet 與 OpenAI 的 Computer Use Agent,Amazon 最大的優勢在於龐大的 Alexa 用戶
- OpenAI Academy :提供工作者、學生、創作者、開發者,各種 ChatGPT、Sora 教學影片內容
- Reducto 推出開源模型 RolmOCR : No metadata inputs 效能
- 優於或等同於 olmOCR 的 OCR 表現
- 在手寫、掃描文件測試中表現出色
- 即使在缺乏元資料的情況下,仍保持良好識別率
- OpenAI 全新的 AI 基準測試 PaperBench : 目的是 AI 能不能從頭重現 AI 論文裡的實驗
科技動態
- Windows 相片應用迎來重大更新,Copilot 增強照片編輯
- Exclusive Google will develop the Android OS fully in private, here's why :私有化開發版本不在接受外部的程式碼提交
