2025.06 Note #29

資安動態 :

1. 史上規模最大的資料外洩 - 中國驚爆40億筆個資外洩 微信支付寶全淪陷！疑現「台灣用戶」資料庫 ：資安新聞網站Cybernews的研究團隊與資安業者Security Discovery聯手，於5月19日發現未受密碼保護的大型資料庫，內有超過40億筆用戶記錄，檔案大小為631 GB，內含金融財務資料、微信及支付寶（Alipay）的詳細資料
   - 第二大資料集「address_db」有超過7.8億筆紀錄，包含有地理識別碼的居住資料
   - 其中一個名為tw_db的資料集相當特別，研究人員推測很有可能與臺灣有關
2. 台大準光電研究所碩士生遭駭 正取變落榜 : 帳密疑遭駭客破解，隨即在短短17秒內在系統完成「放棄錄取」手續。台大報到網站系統的預設帳號及密碼是採用如身分證字號、生日等個人資料，警方懷疑有人知道陳男個資，推斷出其帳號、密碼，進而登入竄改，已查出IP位置在中部 ( 台大的報到網路系統只要有身分證字號及出生年月日即可登入，資安機制可提升 ? )
3. Swift at Apple: Migrating the Password Monitoring service from Java: 密碼監控服務後端由Java改為Swift，效能提升40％，記憶體用量降低一個量級，單一實例記憶體大幅縮減，99.9％請求延遲低於1毫秒，整體資源使用量減半
4. 蘋果在 WWDC 宣布 Apple 錢包將支援 W3C 的數位憑證 API，讓使用者可以透過瀏覽器出示錢包裡的數位證件(不需要再翻拍證件)，目標是 網站都不再接受翻拍證件，也不提供手動填寫欄位 ( 數位證件標準 mDocs（ISO 18013-5）)
   - 卓榮泰上週在青年諮詢委員會上宣布，將積極推動數位駕照及畢業證書納入「數位皮夾」，目標 2025 年完成系統測試 (不曉得台灣的數位皮夾也是不是這個標準 ??)
   -
5. Hacking Windsurf: I Asked the AI for System Access — It Said Yes
6. 新保助永豐銀導入AI臉部辨識門禁管理 強化ATM安全 : 提款全臉辨識，新保(9925)協助永豐銀行導入「AI臉部辨識門禁管理方案」，透過AI臉部辨識機串接門禁管制，將ATM服務區的自動門「鎖上」，消費者需露出完整全臉才能「開門」進入
7. 智慧資安科技uniXecure，成為無密碼驗證領導品牌–AuthenTrend（歐生全創新）台灣獨家代理商 ：精誠資訊子公司 預計在三年內協助100家企業以上導入無密碼驗證
8. 政府111簡訊防詐再升級 新增手機末三碼、機關具名辨識標記 ：2025-06-17 詐騙集團非法利用2G基地臺，以蓋臺手法偽冒政府名義發送111簡訊。為提高防詐鑑別性，自6月起民眾接收到政府簡訊除了顯示「111」號碼外，簡訊內容開頭新增加接收訊息者手機末3碼與發送機關單位名稱，作為專屬識別標記，以利民眾辨識
9. 騙過外送員人臉辨識系統 雙北「面膜駭客」截單...被害多達18人 ：foodpanda 平台有第二道防線「臉部辨識」，蘇男直接敷上面膜，居然就能順利破解人臉驗證，每次登入都靠這招過關自如，完全不被識破

資安事件

1. 封測大廠 聯鈞 -又爆駭客勒索 90G檔案上網兜售「只賣1000美元」: 內容涵蓋大量保密協議（NDA）、公司機密授權文件等，售價僅1000美元，等於任何人都可用台幣3萬元低價取得相關資料 上週另一個駭客勒索軟體Crypto也在暗網發出訊息，表示已駭入聯鈞光電，竊取高達700G檔案，目前還不知勒索金額。資案界研判聯鈞恐怕短短5個月內連遭2次駭客入侵 (確有檔案遭駭客竊取 提醒利害關係人勿購買檔案)
2. 聯嘉光電 總部與部分海外子公司內網有被企圖登入，資訊系統遭受駭客網路攻擊
3. 全台保險公司挫咧等！kiwi86遭駭客勒索　618萬筆保單恐公開 : kiwi86（奇韋系統股份有限公司）是專供保險商品資料庫及保單體檢的老牌保險系統服務公司 取得20G文件資料，同時公布樣本檔案與清單，內容包括高層主管相關檔案、保險保單文件、電子郵件備份、原始程式碼、付款憑證、商業合約等機敏資料。 Dire Wolf並揚言若kiwi86拒絕聯繫支付贖金，將採取「雙重勒索」策略，分兩階段在暗網公開竊得檔案：6月15日先公布一半文件、6月30日再公布所有文件

漏洞

1. GeoTools, GeoServer:
   - EUVD-2025-17683, CVE-2025-30220, 9.9 Critical： XML External Entity (XXE)  processing attack.It is possible to trigger the parsing of external DTDs and entities, bypassing standard entity resolvers. This allows for Out-of-Band (OOB) data exfiltration of local files accessible by the GeoServer process, and Service Side Request Forgery (SSRF).
   Fixed : GeoTools 33.1, 32.3, 31.7, and 28.6.1, GeoServer 2.27.1, 2.26.3, and 2.25.7
2. Linux Red Hat
   EUVD-2025-18415 ,CVE-2025-49796, 9.1 CRITICAL ：A vulnerability was found in libxml2. Processing certain sch:name elements from the input XML file can trigger a memory corruption
   EUVD-2025-18412, CVE-2025-49794, 9.1 CRITICAL ： A use-after-free vulnerability was found in libxml2. This issue occurs when parsing XPath elements under certain circumstances when the XML schematron has the <sch:name path="..."/> schema elements
3. Apache Tomcat - 有3個比較高分
   - EUVD-2025-18409, CVE-2025-48988 , 8.7 High DoS in multipart upload
   - EUVD-2025-18410, CVE-2025-49124, 8.4 High Untrusted Search Path vulnerability in Apache Tomcat installer for Windows. During installation, the Tomcat installer for Windows used icacls.exe without specifying a full path
   - EUVD-2025-18406, CVE-2025-49125, 7.5 High Authentication Bypass Using an Alternate Path or Channel When using PreResources or PostResources mounted other than at the root of the web application, it was possible to access those resources via an unexpected path. That path was likely not to be protected by the same security constraints as the expected path, 
   Patched : v11.0.8 , v10.1.42 or v9.0.106
4. Apache Commons FileUpload, FileUpload DoS via part headers
   - EUVD-2025-18407, CVE-2025-48976,, 8.7 High Allocation of resources for multipart headers with insufficient limits enabled a DoS vulnerability
   Patched versions v1.6 or v2.0.0-M4, 
5. Microsoft June 2025 Patch Tuesday fixes exploited zero-day, 66 flaws :
   - 小插曲 - 相容性問題影響少部分裝置。微軟已快速修正並重新編譯 KB5060842 更新檔
   - 修補了其軟體產品中共 66 個漏洞，其中包含 1 個已遭惡意利用的零時差漏洞 (26 個RCE)
   - WebDAV RCE : CVE-2025-33053, 8.8 , by exploiting external control of file names or paths over a network. The vulnerability affects multiple Windows versions and can be triggered through maliciously crafted URLs
   - Windows SMB 客戶端權限提升漏洞 : CVE-2025-33073, 8.8
   - Power Automate 權限提升漏洞 CVE-2025-47966，9.8
6. go1.24.4 & go1.23.10 : security fixes to the crypto/x509, net/http, and os packages
7. 1. CVE-2025-4673 : 6.8 : net/http: sensitive headers not cleared on cross-origin redirect ( potentially leaking sensitive information)
   2. EUVD-2025-18136 CVE-2025-22874, 7.5 : Certificate verification bypass, crypto/x509: When VerifyOptions.KeyUsages includes ExtKeyUsageAny, certificate policy validation is unintentionally disabled
   3. CVE-2025-0913, 5.5: os: inconsistent handling of O_CREATE|O_EXCL on Unix and Windows
   4. CVE-2025-22873: os: Root permits access to parent directory
7. pgjdbc : org.postgresql:postgresql
   -EUVD-2025-18118, CVE-2025-49146, 8.2 pgjdbc Client Allows Fallback to Insecure Authentication Despite channelBinding=require Configuration  When the PostgreSQL JDBC driver is configured with channel binding set to required (default value is prefer), the driver would incorrectly allow connections to proceed with authentication methods that do not support channel binding (such as password, MD5, GSS, or SSPI authentication). This could allow a man-in-the-middle attacker to intercept connections that users believed were protected by channel binding requirements.
8. Microsoft Security Advisory .NET Remote Code Vulnerability :  
   - EUVD-2025-18115, CVE-2025-30399, CVSS: 7.5
   - 受影響 : .NET 8.0 and .NET 9.0
   - Patched version : v8.0.17 , v9.0.6
9. GitLab Patch Release: 18.0.2, 17.11.4, 17.10.8
   - HTML injection impacts GitLab CE/EE CVE-2025-4278 8.7
   - Cross-site scripting issue impacts GitLab CE/EE CVE-2025-2254 CVSS: 8.7
   - Denial of Service impacts GitLab CE/EE CVE-2025-0673 -
   - 受影響: affecting all versions from 17.9 before 17.10.8, 17.11 before 17.11.4, and 18.0 before 18.0.2
10. QNAP command injection SQL injection
    - EUVD-2025-17340 , CVE-2025-22481, 8.7 A command injection vulnerability has been reported to affect several QNAP operating system versions. If exploited, the vulnerability could allow remote attackers who have gained user access to execute arbitrary commands. We have already fixed the vulnerability FIXED: QTS 5.2.4.3079 build 20250321 and later QuTS hero h5.2.4.3079 build 20250321 and later
    - EUVD-2025-17342 CVE-2025-29892, 8.7 SQL injection vulnerability has been reported to affect Qsync Central. If exploited, the vulnerability could allow remote attackers who have gained user access to execute unauthorized code or commands

工具

1. apple/containerization: Containerization is a Swift package for running Linux containers on macOS
   - Containerization is written in Swift and uses Virtualization.framework on Apple silicon
   -  executes each Linux container inside of its own lightweight virtual machine
2. Cursor 正式推出 1.0 版本 , 支援 Jupyter Notebook , BugBot 自動檢查程式碼, 記憶每個專案的對話內容
3. Cursor 用 Cursor 開發 Cursor - How Cursor is building the future of AI coding with Claude :  Cursor 的三位核心成員表示 Cursor 團隊所有人都靠 Cursor 來開發 Cursor

PQC

1. 華碩自研後量子密碼演算法 獲美 NIST 親頒 CAVP 認證 : ???
2. PKIX and SMIME (lamps)
   25/06 中 更新釋出
   1) Use of ML-KEM in the Cryptographic Message Syntax (CMS) draft-ietf-lamps-cms-kyber-10
   2) Composite ML-KEM for use in X.509 Public Key Infrastructure (draft-ietf-lamps-pq-composite-kem-07)
   3) Composite ML-DSA for use in X.509 Public Key Infrastructure (draft-ietf-lamps-pq-composite-sigs-05)
   4) An Attribute for Statement of Possession of a Private Key (draft-ietf-lamps-private-key-stmt-attr-08)
   5) Unsigned X.509 Certificates (draft-ietf-lamps-x509-alg-none-07)
   6) Use of the ML-DSA Signature Algorithm in the Cryptographic Message Syntax (CMS). draft-ietf-lamps-cms-ml-dsa-05

AI 動態

1. Andrej Karpathy 分享使用 ChatGPT 不同模型的習慣：
2. 1. o3 模型：適合處理重要、複雜問題，是目前最強的推理模型（使用頻率 40% ）
   2. 4o 模型：適合日常使用、簡單問題，是目前的主力非推理模型（使用頻率 40% ）
   3. o4 模型：目前只提供 mini 版本，效能不如 o3，不推薦使用
   4. 4.1 模型：用來「vibe coding」（使用頻率 10% ）
2. Meta AI just beat Gemini as the most data-hungry chatbot: Meta AI 是蒐集最多用戶資料的 AI 聊天機器人
3. 1. Meta AI：總共蒐集了 32 種用戶資料，包含財務、健康，甚至敏感資訊（種族、性取向、宗教信仰、政治立場、生物特徵…
   2. Google Gemini 蒐集 22 種；ChatGPT 蒐集 10 種；DeepSeek 蒐集 10 種
3. Meta 斥資 143 億美元收購 Scale AI 的 49% 股份 : Scale AI 專門提供 AI 訓練所需的數據標註服務，像是 OpenAI、Google、Meta 等 AI 公司都是他們的客戶
4. Nanobrowser : 免費開源的 Chromium 核心擴充功能，可以讓 Gemini、OpenAI 的 AI 模型直接在瀏覽器中執行自動化任務，不需要手動設置每一步自動化流程，更適合處理需要登入帳號的任務
5. Apple 發表 AI的推理能力可能沒有在思考的批評性 論文 : 新聞
6. 1. 模型表現分為三種情況： 簡單問題：傳統不帶思考的 LLM 模型表現反而比 LRM 模型好 ; 中等複雜問題：LRM 模型表現較好 ; 高等複雜問題：兩種模型都會失敗（正確率趨近 0%）Over-thinking：當遇到簡單問題時，通常很快就能找到正確答案，但還是會繼續生成錯誤答案浪費算力
   2. 生成式 AI 系統無法「推理」只是在猜，看起來「能解決問題」，只是因為答案早已被記住，或者直接包含在訓練資料中非常昂貴的自動完成工具，而且這一切還是在錯誤率高達 30–70%，而且還在惡化
6. Perplexity整合美股SEC數據 助投資者獲取財務資訊 : 宣布全新功能：整合 SEC / EDGAR 財務資料，用戶可以直接在 Search、Research、Labs 中，查詢美國公開財報📄 不用開 PDF、不用跑官網，一次解鎖所有公司財務資訊
7. The Browser Company 停止開發 Arc 瀏覽器，推出全新 AI 瀏覽器 Dia :自動搜尋、摘要、寫作、程式設計，並根據使用者偏好自動調整

科技動態

1. Japan Post launches 'digital address' system : 日本郵政推出了「數位地址」系統，只需一組7個字元的代碼即可輕鬆購物，不需再填實體地址(即使搬家也可數字不變)
2. 法國準備出手限制15歲以下兒童使用社交媒體: 決定立法禁止青少年存取社交平臺的還有澳洲，澳洲政府要求社交平臺必須阻止16歲以下的兒童註冊帳號，可望於今年11月生效。