2025.09 Notes #36

資安動態

1. Synology: Third-Party Hard Drives Will Be Officially Supported Again In The Future : 才發布要鎖硬碟沒一年，現在又宣布可能放寬支援3rd，不曉得是不是真的 ?
2. 晶片大神 Jim Keller 宣布在台設辦公室、找台灣工程師
3. 10月起「歐洲29國」全面改掃臉、指紋入境 ：今年10月12日，在29個成員國啟用「歐洲入出境系統（Entry Exit System，EES）」，取代傳統護照戳章；到明年4月，歐洲大部分地區將全面採行「無戳章入境」
4. JFrog推出AppTrust自動化治理方案，確保應用程式可信交付
5. Exchange Server 2016/2019、Office 2016/2019也要在10/14終止支援 ：根據微軟網頁，其他在同一天來到支援終點的還有Skype for Business 2016/2019、Visio 2016/2019、Windows Server 2012/2012 R2 ESU第二年
6. 繼自爆SSD後，TeamGroup十銓再推可自毀的外接SSD: T-CREATE EXPERT P35S因採用物理方式銷毀資料
7. 資安院推中小企業資安防護指南手冊，預告臺版Cyberseek明年上線 : 已發布的兩本為「資安基礎概論篇」、「資通系統安心委外篇」，後續還將推出的是「網路安全管理實務篇」、「資安制度與風險管理篇」，以及「個資管理篇」

RFC/規範/NIST

1. Wasm 3.0 Completed 25/09/17 : Wasm 3.0 is already shipping in most major web browsers, and support in stand-alone engines like Wasmtime 
   - 64-bit address space
   - Multiple memories
   - Garbage collection
   - Typed references

資安故事線

1. CrowdStrike買下Pangea，進軍AI偵測與回應領域 : 可掃描及阻擋不當提示的AI Guard，能檢查與遮蔽敏感資訊的Prompt Guard，AI存取控制，以及可檢視AI互動與資料流的AI Visibility，目的在於防範提示注入、模型越獄與資料外洩，還能過濾有害的輸入/輸出內容
2. Check Point買下AI資安業者Lakera: Lakera擁有瑞士及美國雙總部，定位為維護AI原生安全的資安公司，專注於保護大型語言模型（LLM）、生成式AI及代理
3. F5買下AI安全領域的元老級公司CalypsoAI : CalypsoAI可偵測並攔截模型回應中的提示注入、越獄、機密資料外洩及有害內容，並透過大規模紅隊測試產出風險評分；能記錄並審查跨模型互動，並提供中央控制臺統一監督所有AI系統的運作
4. OpenAI收購新創Statsig 砸11億美元瞄準產品測試 (AI 應用會加速迭代) : Statsig 成立於 2021 年，專注於：A/B 測試：幫助公司快速驗證新功能是否有效，Feature Flags：允許團隊在不同版本間快速切換。數據驅動決策：提供即時實驗分析，讓產品迭代更快  
5. 系微首度推出資安軟體 目標五年內營收占比20% :  AdmynCVE 主要瞄準現階段最受矚的資安領域，除了結合全球 CVE 弱點資料庫，也提供全自動化修補或修補指引，更可以進行無數次掃描，目前已通過「資安能量登錄及資通安全自主產品認證」，成功進入台灣公共採購平台
   - 已獲兩家上櫃公司簽約採用 主打是白箱掃描，能更直接發現更高危險性的漏洞

工具

1. Visual Studio 2026 Insiders開放下載，AI深度融入開發流: 微軟推出Visual Studio 2026 Insiders，人工智慧深度整合至開發流程，協助理解程式碼與測試建議，並透過Profiler Agent提供實測驗證
2. 64GB RAM 才夠用？微軟 Visual Studio 2026 規格讓工程師傻眼 ：很多公司看到最低需求 8GB，就只肯配給員工 8GB 的電腦，導致開發效能大打折扣，所以提升開發軟體的硬體需求

資安事件

1. 資安專家變駭客！入侵龍巖系統偷客戶個資　辯：只是研究未轉賣 : 虞修志電腦中另外發現多筆殯葬商品計畫、訂單、信用卡簽帳等資料，虞修志坦言在2019年間，發現龍巖集團網站漏洞，侵入系統後取得，經龍巖公司派員確認這些資料是客戶個資無誤
2. 台積電供應鏈驚傳駭客勒索 致茂先進封測設備機密恐外洩: 在暗網宣布駭入先進封裝測試設備大廠致茂網路系統，限期17天聯繫支付贖金，否則將公布所有資料
3. 壽司郎爆個資外洩　會員姓名、信箱外流 狂收600封郵件　會員姓名、信箱全看光
4. 汽車業者Jaguar Land Rover遭遇網路攻擊，銷售、生產受到影響 : 9 月初被迫關閉資訊系統後，停產時間預計已延長至 9 月 24 日，英國工廠停工時間超過 3 周，相關的零件訂購和車輛登記系統都暫時無法使用，這約佔全英國 10.4 萬個工作機會
5. 針對週末歐洲多個機場登機系統服務中斷事故，歐盟當局透露是勒索軟體攻擊所致: 柏林勃蘭登堡機場、布魯塞爾機場，以及倫敦希思羅機場，從上週五（9月19日）晚間開始傳出登機系統中斷運作的現象 (Muse登機系統遭攻擊)
6. 捷元B2B採購平臺出現異常下單，母公司鑫聯發資安重訊 : 公司B2B採購平台遭受異常下單

漏洞

1. Angular SSR: Global Platform Injector Race Condition Leads to Cross-Request Data Leakage @angular/platform-server @angular/ssr
   CVE-2025-59052, 7.1 High
2. GitLab CE/EE affecting...
   - CVE-2025-6454 8.5 High - Server-Side Request Forgery issue in Webhook custom header
   - CVE-2025-2256 7.5 High Denial of Service issue in SAML Responses impacts GitLab CE/EE
   Patch Release: v18.3.2, 18.2.6, 18.1.6
3. libexpat (XML parsing library) can cause the parser to allocate hundreds of megabytes, leading to denial-of-service (DoS) through memory exhaustion
   CVE-2025-59375 7.5 High , Expat before 2.7.2 allows attackers to trigger large dynamic memory allocations via a small document that is submitted for parsing.
   FIXED: libexpat 2.7.2 ( Red Hat, ....)
4. Spring Security annotation detection mechanism has authorization bypass
   CVE-2025-41248 7.5 High，Your application may be affected by this if you are using Spring Security's @EnableMethodSecurity feature
   CVE-2025-41249 7.5 High org.springframework:spring-core
   FIXED : 6.4.11、6.5.5 2025-09-17
5. golang standard library
   CVE-2025-47910 CrossOriginProtection insecure bypass patterns not limited to exact matches in net/http
   CVE-2025-47906 os/exec: PATH environment variable contains paths which are executables (rather than just directories), passing certain strings to LookPath ("", ".", and ".."), can result in the binaries listed in the PATH being unexpectedly returned
   FIXED : v1.25.1 and 1.24.7
6. CrowdStrike 又出事了？NPM 爆發嚴重蠕蟲病毒「沙蟲」：會自動感染其他套件，供應鏈風險急升: 目前已知至少有 187 個 NPM 套件被沙蟲感染。沙蟲具備高度自我複製能力，可在極短時間內滲透整個 NPM 生態系統。9/16的整理表(Live Updates)
7. Windows 11 版本 24H2 已知問題和通知, 在某些藍光/DVD/數位電視應用程式中播放受保護的內容時出現問題 安裝最新的 Windows 11 24H2 2025 年 9 月 KB5065426 之後，導致藍光/DVD 應用程式無法播放

AI

1. Go behind the browser with Chrome’s new AI features：Gemini版Chrome，此舉讓 AI 新創遭重創 (也將在蘋果（Apple）iOS版Chrome應用程式中內建Gemini)
   - 提供文章、網頁或討論串的精簡摘要
   - 若同時開啟多個分頁規劃旅程，Gemini 可以整合機票、住宿與活動資訊
   - 跨分頁總結內容、在YouTube影片中尋找參考資料
   - 預約理髮或訂購交辦採買，Chrome自動切網頁、輸入、搜尋並下單
   - 找到你剛看過但忘記哪看過的網頁(上週我看到那個胡桃木書桌的網站是哪個？)
   - 目前僅開放美國地區且Chrome語言設定為英文的Mac和Windows桌機的用戶使用
2. 歐盟《人工智慧法》禁用 AirPods 即時翻譯，短期內可能無解 : 歐盟《人工智慧法》及《一般資料保護規則》（GDPR）對語音及翻譯服務有嚴格限制。新功能被限須滿足兩條件：用戶蘋果帳號註冊為歐盟，同時用戶也處於此地區，所以英國用戶可正常使用，即使至歐盟國家旅行
3. 微軟 10 月起強制安裝 Copilot AI，個人用戶無權說不 ：將影響所有安裝了 Microsoft 365 桌面版本應用程式的 Windows 用戶，包括 Word、Excel 和 PowerPoint。根據微軟的消息中心，這項更新預計將在 11 月中旬完成
4. Meta 發表內建顯示螢幕的 AI 智慧眼鏡「Meta Ray-Ban Display」售價 799 美元 :
   - 右眼鏡片內側嵌入小型顯示器
   - Meta Neural Band 神經腕帶控制系統利用神經訊號感測手勢指令，非接觸式操作，是人機介面（HMI）領域的重要創新，手腕肌肉活動的細微手勢（如滑動、捏合、旋轉）轉化為數位指令，可滑動選單、點擊、縮放、音量調整等操作，無需觸碰眼鏡或手機
   - 單眼 600x600 螢幕、八小時電池續航
   - 佈局藍圖，包括雙眼顯示、行動網路支援版本、專屬 App Store 以及 2027 年目標推出的消費級 AR 眼鏡
   - Oakley Meta Vanguard：高強度運動專用AI眼鏡 : 適合跑步、騎車、滑雪等極限運動場景，售價499美元
   - Meta發表的不是單一產品，是一個完整的產品線
5. 馬斯克最新訪談：兩萬鎂機器人 :

• • Elon Musk 覺得
    - 當年產100萬台機器人，成本就能下降到2萬美元，且大部分成本是AI晶片(5000或6000美元)，售價訂在5萬美元（毛利率60％）
    - Optimus 正在完成第三版的設計，手部的技術規格，他指出：「人類的手根據你如何計算，每隻手有27或28個自由度。這真是令人驚嘆
    - Tesla AI5：AI5的改進將比AI4 好40倍
    - SpaceX 能夠「直接從衛星向手機提供高頻寬的連接服務」
    - 明年可商業運行重複使用的Starship可回收大型火箭，要能有直連高頻寬衛星網路的手機需要兩年
    - 明年AI就會在任何事超越任何單一人類，2030超越所有人類總和
    - Starship 星艦的技術瓶頸是開發可承受數千度高溫、反覆穿越大氣層的隔熱盾系統

科技動態

1. Octopuses could help us build robots that rescue people from collapsed buildings. Here's how Discover Wildlife : 此文發現章魚有8隻腳，只有4隻腳用來行走，其他4隻腳用來探索(Sensor)，多足機器人可以用此概念發想設計
2. 當危機來臨時 - 臺灣全民安全指引當危機來臨時：PDF 檔，