2025.08 Note #33

資安動態

1. 台積電2奈米洩密案 TEL打破沈默：涉案員工已解僱 配合台灣當局調查 :
   - 設備大廠工程師與其中一名台積電工程師，約在近竹科的星巴克翻拍機密資料，當場被檢調單位活捉 ，已觸及《國家安全法》
   - 拍攝張數高達四百多張，涉案人員目標就是瞄準台積電最先進的二奈米製程，並將每天討論的試產參數一一拍下來
   - 公司配發給員工的手機/電腦都會內建偵測功能，只是平常拍的東西無關緊要而沒被警告
2. Google Project Zero測試新漏洞揭露政策，將提早公布部份細節 :
   - 現況 :「90+30」，即給廠商90天修補釋出更新，以及30天用戶端安裝更新版，以加速廠商修補漏洞的速度 「上游修補空窗」（upstream patch gap）
   - 新政策 : 通報原廠漏洞約 7天，Project Zero就會公布部份漏洞資料。這些資訊包括接獲漏洞報告的廠商或開源專案、影響的產品、報告成立的日期，以及90天揭露期的大限日期
3. Windows 用戶看到這兩張照片千萬別亂點，「Father.jpg」藏毒攻擊現身！:透過隱寫術（Steganography）將惡意程式碼藏進圖片中，再利用 Dropbox 平台作為中繼站來散播。 其中這張名為「Father.jpg」的圖片，表面上看起來是兩位男性的正常照片，但其實已經被植入多階段加密外殼與惡意注入程式碼 (隱寫 :將資訊偷偷嵌入圖像、聲音或影片等媒體檔案中)
4. 資安弱點BitUnlocker，攻擊者有機會透過WinRE繞過磁碟防護機制 : CVE-2025-48800、CVE-2025-48003、CVE-2025-48804，以及CVE-2025-48818 , PATCH 7月安全性更新
5. Exchange Server提權攻擊漏洞還有2.9萬臺系統曝險 : CVE-2025-53786為一項提權攻擊漏洞，能讓取得Exchange Server管理員權限的攻擊者，透過假造或操弄token或API呼叫，就能在同一組織連結的雲端Exchange上提升權限而不會留下跡證
6. 微軟OAuth應用程式遭冒充，攻擊者以釣魚手法繞過多因素驗證 : 假冒企業常用的雲端服務，誘導受害者授權偽造應用，再將其導向仿造的微軟登入頁面，藉此攔截帳號密碼及多因素驗證（MFA）會話資訊
7. 後門程式Plague透過SSH入侵Linux伺服器，濫用身分驗證模組PAM匿蹤 : Plague深度整合到PAM的身分驗證堆疊，不僅在系統更新之後不會受到影響，而且幾乎沒有留下任何活動的跡象，再加上駭客採取多層混淆機制，以及竄改環境變數，使得一般的資安工具難以偵測此惡意程式的存在
8. 短網址轉更新 We’re updating our plans for goo.gl links : 喊話很久的2025/08/25 停止 goo.gl 轉址服務 ，更新政策 如果有繼續使用gool，仍會維持可用。
   All other goo.gl links will be preserved and will continue to function as normal. To check if your link will be retained, visit the link today. If your link redirects you without a message, it will continue to work.
9. 微軟公布惡意程式逆向工程AI代理人Project Ire原型 :
   - 正確辨識出90%的惡意程式，僅有2%被誤判為惡性，精準度達0.98、召回率為0.83
   - 之後會用於Defender部門作為二進位檔分析
10. Mercedes-Benz expands collaboration with Microsoft to boost in-car productivity :
    - Benz 的作業系統 MB.OS 內建整合微軟產品，提升員工生產力
    - Microsoft Teams、Microsoft 365 Copilot 及 Microsoft Intune 
    ( 開車時不是開手機就好了嗎 ? 開車也需要生產力 ? 有賓士的朋友可以試試看)
11. 'I think you see the future first on Android ：ChromeOS 未來將和 Android合併，
    “I asked because we’re going to be combining ChromeOS and Android into a single platform, and I am very interested in how people are using their laptops
12. GitHub執行長年底卸任，組織併入微軟CoreAI部門
13. Skechers 推出可藏 AirTag 的童鞋，孩子安全更升級 : Skechers 推出了一款超貼心的童鞋系列「Find My Skechers」，主打鞋底暗藏 AirTag 隱藏艙設計，不但讓爸媽能更安心掌握孩子位置，還能避免追蹤器被小朋友玩掉或弄丟
14. Do not download the app, use the website ：此文偏技術人觀點，意思是如果有 web 版的話儘量用 web 版，不要下載安裝 app，原因是 WEB sandbox 相對APP 嚴謹很多，如果是 APP 可能會侵犯隱私資訊例如 Your Contacts, Location Tracking , Microphone Access, Installed Apps

資安事件

1. 勒索軟體DevMan聲稱一口氣對4家臺灣企業下手 : 同一天於暗網公布4家臺灣受害企業，並表示從中竊取200 GB至960 GB不等的資料
   BUL Corp（bul.tw）KW International（kw.tw） Prowess Corp（pr**.tw）
   110萬美元、100萬美元、105萬美元，以及600萬美元
2. 思科、Google雙雙發生員工遭網釣 致CRM資料外洩 : 思科客戶代表遭語音釣魚（vishing）鎖定得逞，因而得以從該公司使用的第三方雲端平臺客戶關係管理（CRM）系統的一個執行個體中存取並外洩一部份用戶資訊

工具

1. Modern Node.js Patterns for 2025 : 列舉了NodeJS 11種 2025開始該改用的新寫法
2. google osv-scanner v2.2.1 : 增加一個feature : OSV-Scalibr，這是 google 內部的SCA 引擎，軟體組成分析函式庫。
3. 美國CISA開源Thorium惡意程式分析平臺 ：Thorium為自動化檔案分析及資料生成的高擴充性分散式平臺，它允許分析團隊操作及整合任意商業、開源及自訂工具，自動化執行分析工作流程，支援軟體分析、數位鑑識和事件回應
   https://github.com/cisagov/thorium
4. Go 1.25 Release : 執行期間行為與效能進行多項最佳化
   - go build -asan option doing leak detection at program exit
   - GOMAXPROCS defaults to the number of logical CPUs ，如果在k8s( linux) 偵測 cgroup的CPU 最小值，可動態更新符合 continer 設定
   - Green Tea的實驗性垃圾回收器 有望降低10％到40％的GC開銷 (編譯時設定GOEXPERIMENT=greenteagc)
   -  encoding/json/v2
   -  testing/synctest  測試框架 :

漏洞

1. WinRaR : path traversal vulnerability execute arbitrary code by crafting malicious archive files
   EUVD-2025-23983，CVE-2025-8088: 9.8 Critical  
   Patch : 7.13  所有使用者都必須手動前往官方網站安裝
2. SQL Server 2016, 2017, 2019, 2022 Elevation of Privilege Vulnerability
   - EUVD-2025-24377，CVE-2025-49758: 8.8 High ，Improper neutralization of special elements used in an sql command ('sql injection') in SQL Server allows an authorized attacker to elevate privileges over a network
   - EUVD-2025-24376 ，CVE-2025-53727: 8.8 High
   Patch : 各自有 安全性更新權限提高弱點
3. 聯想USB網路攝影機存在漏洞，可被用於發動BadUSB攻擊
   CVE-2025-4371 透過USB連線寫入任意韌體，聯想的桌上型網路攝影機510 FHD與Performance FHD
   Patch : 4.8.0版韌體

AI 動態

1. 2025年8月5日，OpenAI 正式發布了 GPT-OSS-120B 和 GPT-OSS-20B 兩款開源語言模型
2. 1. 120B 效能接近 o4-mini, 20B 接近 o3-mini
   2.  Apache License 2.0
   3. 16GB VRAM 的卡可以在 local 端跑
2. 2025 OpenAI GPT 5 釋出
3. If Writing is Thinking… …then what happens if AI is doing the writing and reading? : AI 之後，人們只讀 AI 的總結，不再看原始長篇文，讓 AI 去讀去懂去輸出，自己只願意看 AI 給的總結
4. Perplexity提出以345億美元收購Google旗下Chrome瀏覽器 :全現金收購，谷歌尚未有出售Chrome的規劃