資安動態
- Hundreds of thousands of Russian schoolkids are building drones that kill Ukrainians : 中文 (從國民教育中訓練戰爭人才)
- 俄羅斯高中生在玩一個遊戲「熊穴 (Berloga)」。遊戲中,玩家是聰明的熊,要操控無人機抵禦蜂群
- 要操作不同款式的無人機,完成任務
- 數十萬俄羅斯青少年玩,玩得好的人,高中全國畢業統一考試可以加分
- 如果比賽成績優秀,軍火商公司直接給你工作
- 大挑戰 比賽: 西方禁運令俄羅斯軍工業不能進口外國零部件,目的是解決西方禁運令問題,玩家只能用境內材料設計機械 - 通過 FIPS 140-3安全認證,金士頓新一代加密隨身碟上場 :
- IronKey D500S 2025/06 通過 FIPS 140-3 Level 3
- 提供支援三種使用者角色的多重密碼身分驗證:管理員、使用者、單次復原
- 16 GB為3,790元,32 GB為4,790元,64 GB為6,190元 - Y2K38 bug Debian switching to 64-bit time for everything:
- 32 bit timet 極限 2038/01/19 的 03:14:07
- Debian isn't waiting for 2038 to blow up,
- time_t, "all over the place," spread across a total of 6,429 packages - 為保護用戶隱私,Brave加入封鎖Windows 11 Recall功能的行列:
- Recall 原理在於將使用活動以「快照」形式儲存下來,瀏覽器中的隱私上網(private browsing)功能不會被儲存。Brave 的所有Brave分頁都是「private」的Recall永遠不會擷圖儲存
- 從「設定」>「隱私與安全性」,將「封鎖Microsoft Recall」功能關閉 = 啟用 - 微軟資安危機延燒,全球約 400 個組織遇駭 : 美國國家衛生研究院證實已遭到入侵,起因於微軟未能徹底修補其SharePoint伺服器軟體中的一個安全漏洞
- 「抓猴專家」出事!暗網收購9300萬筆個資 全台灣人都被賣了 :徵信社工程師,上暗網購買9300萬筆個資,其中光戶役政資料就達3千萬筆,其中雖有重複、除戶的資料,但幾乎囊括全台個人資料,還成立搜尋伺服器,讓徵信社員工可以登入查詢所需個資
- 中國工程師維護美軍系統?微軟被踢爆急喊停:已撤人力阻資安疑慮…國防部長下令徹查 :微軟公司(Microsoft)日前宣布,即日起將全面停止使用駐中國工程師,為美國國防部提供雲端技術支援
- 英國百年物流公司如何因某位員工的一組「爛密碼」而倒閉 : KNP一名員工使用極其薄弱、可被輕易猜中的密碼。入侵後對整個營運系統進行加密,導致貨運排程、司機指令、貨單查詢等核心作業系統全數癱瘓,無法出車、無法開單,物流鏈當場斷裂。即使公司有備份,也因同步遭攻擊而無法使用。事發後,KNP甚至請來專業復原公司,但仍無力挽救整體資料系統有三分之一公司為求營運不中斷,只得乖乖付錢。NCSC表示,許多攻擊並非高階駭客所為,而是犯罪集團雇用的「勒索即服務」工具,在暗網中只需花幾百英鎊就能取得
英國計畫禁止公部門、關鍵基礎設施業者付錢給勒索軟體歹徒 除公部門,另民間機構付贖金給俄羅斯駭客組織可能觸法
工具
- The FIPS 140-3 Go Cryptographic Module (go 原生支援 FIPS 140-3) :
- Go 1.24 起,標準函式庫內建 FIPS 140-3 驗證的加密模組(Go Cryptographic Module v1.0.0),並已獲得 CAVP 證書(A6650)至 NIST 進行 CMVP 驗證
- Cryptographic Algorithm Validation Program (CAVP) certificate A6650
- go.mod 設定fips140=on啟用 (fips140=only更嚴格)
- 現況 : Go+BoringCrypto GOEXPERIMENT . 新原生模組將取代此
- 假設原本是使用第三方libs 的,可以開始轉換成 golang 內建的 crypto module
- ML-KEM 密鑰交換(FIPS 203) - Google Launches OSS Rebuild to Expose Malicious Code in Widely Used Open-Source Packages:
- validates software package integrity by rebuilding artifacts from source and comparing results, detecting potential supply chain attacks and building trust in open source. 6個 Feature
- 可協助偵測的供應鏈安全問題
- 可提升metadata、強化SBOM、加快漏洞回應
- 已支援 PyPI(Python)、npm(JS/TS)和Crates.io(Rust)官網使用介紹 - microsoft sbom-tool :v4.1.0
RFC/SPEC
- Use of the SLH-DSA Signature Algorithm in the Cryptographic Message Syntax (CMS) RFC 9814 2025-07-19
- ACME Renewal Information (ARI) Extension RFC 9773 (RFC 8555)的增強機制 2025/06 : 描述 renew 最佳化的時機
- 2 組關鍵時間參數:renewalWindowStart:建議開始續訂的最早時間點renewalWindowEnd:必須完成renew的最晚截止時間
- 解析證書中的 ARI,據此自動觸發 ACME renew流程,避免過早或過晚
- Allowing issuing CAs to suggest a period in which clients should renew their certificates enables dynamic time-based load balancing. This allows a CA to better respond to exceptional circumstances. For example:
- a CA could suggest that clients renew prior to a mass-revocation event to mitigate the impact of the revocation, or
- a CA could suggest that clients renew earlier than they normally would to reduce the size of an upcoming mass-renewal spike
漏洞
- Microsoft SharePoint on-premises Microsoft SharePoint Server allows an unauthorized attacker to execute code over a network ? Cloud/ O365 ?
EUVD-2025-21981,CVE-2025-53770,Critical: 9.8 遠端程式碼執行漏洞
Fixed : Releases Urgent Patch for SharePoint RCE - SQLite 零時差漏洞 由AI Agent Big Sleep 發現
- CVE-2025-6965, 9.8 Critical, the number of aggregate terms could exceed the number of columns available. This could lead to a memory corruption issue
Fixed : v3.50.2+ - go command(standard library) may execute unexpected commands when operating in untrusted VCS repositories (a repository was fetched via one VCS (e.g. Git), but contains metadata for another VCS (e.g. Mercurial))
- CVE-2025-4674 : 8.6 High
FIXED : go1.24.5 + - GitLab Language Server: Missing Authentication for Critical Function
EUVD-2025-22905,CVE-2025-8279 :8.7 High,Insufficient input validation within GitLab Language Server 7.6.0 and later before 7.30.0 allows arbitrary GraphQL query execution - WinRAR Filename Spoofing RCE when opening specially crafted ZIP
- CVE-2014-125119, 8.4 High,filename spoofing vulnerability exists in WinRAR when opening specially crafted ZIP archives. An attacker can leverage this flaw to spoof filenames and trick users into executing malicious payloads under the guise of harmless files, potentially leading to remote code execution
影響 : version < 5.00
Fixed : WinRAR v5.00+ - Gitlab CE/EE XSS
EUVD-2025-22466 , CVE-2025-4700: 8.7 High, under specific circumstances, could have potentially allowed a successful attacker to trigger unintended content rendering leading to XSS
CVE-2025-4439: 7.7 High - Cross-site scripting issue impacts Kubernetes Proxy
影響 : v15.10 before 18.0.5 / v18.1 before 18.1.3, and 18.2 before 18.2.1
Fixed : GitLab Patch Release: 18.2.1, 18.1.3, 18.0.5 - Grafana is vulnerable to XSS attacks through open redirects and path traversal
- CVE-2025-6023, 7.6: High
Fixed : 12.0.2+security-01, 11.6.3+security-01, 11.5.6+security-01, 11.4.6+security-01 and 11.3.8+security-01 - NPM package ‘is’ with 2.8M weekly downloads infected devs with malware :
- 'is' package : wide variety of type checking and value validation functions.
- 惡意程式會動態導入ws函式庫並建立WebSocket連線,將收集到的資料外洩
- 影響 : 版本 3.3.1至5.0.0含有惡意程式。
- 「is」以外,以下套件也在同一次攻擊中被植入惡意程式:
eslint-config-prettier (8.10.1, 9.1.1, 10.1.6, 10.1.7)
eslint-plugin-prettier (4.2.2, 4.2.3)
synckit (0.11.9)
@pkgr/core (0.2.8)
napi-postinstall (0.3.1)
got-fetch (5.1.11, 5.1.12
PQC
AI 動態
- HL7成立AI辦公室,要制定醫療AI國際標準 :
官方連結 - Why I'm Betting Against AI Agents in 2025 (Despite Building Them) : 如果每一步驟的正確率是 95% ,20步奏以後降到 36%
5 steps = 77% success rate
10 steps = 59% success rate
20 steps = 36% success rate - AlphaGo Moment for Model Architecture Discovery : AI 自己研究新的 AI 模型,「全自動 AI 研究循環」,讓 AI 自己想出新的模型,3 個角色組成,Researcher(負責設計)、Engineer(負責訓練與除錯)、Analyst(分析結果並提供建議),共發現 106 種新的 Linear Attention 架構
- 白宮發表AI Action Plan以鞏固美國AI領導地位 : 對決歐盟《人工智慧法案》:鬆綁與設限
