2025.10 Notes #38

資安動態

1. 如何擋下網攻不破防？華碩資安長曝粗暴解方：強制推行15碼密碼，駭客就會「累到放手」？
   - 華碩資安長金慶柏強調，只要密碼從4碼升級到15碼的安全強度， 就夠確保駭客在現有技術下需要花上百年才能成功破解，極大地提升了資料的安全性。 「就算你把密碼貼在電腦底下，我們不鼓勵，但也會比單純4碼密碼安全的多，」金慶柏笑著補充，「畢竟能進到公司、辦公室偷取機密的人，就已經大大減少了。」資安長表示這是一個「便宜」卻又非常有效的方法
   - 文章有點片段的訪談 缺乏前後文完整論述，但已經被網友質疑
   - 我們從 NIST SP 800-63B: Digital Identity Guidelines – Authentication and Lifecycle Management (Tue, 26 Aug 2025) 8月份修訂的的第 3.1.1.2 Password Verifiers 章節來看 共有9點 跟長度有關的是前兩點
   1) Verifiers and CSPs SHALL require passwords that are used as a single-factor authentication mechanism to be a minimum of 15 characters in length. Verifiers and CSPs MAY allow passwords that are only used as part of multi-factor authentication processes to be shorter but SHALL require them to be a minimum of eight characters in length.
   2) Verifiers and CSPs SHOULD permit a maximum password length of at least 64 characters.
2. 害全球網站連鎖癱瘓！亞馬遜AWS雲端大當機15小時後已全面修復：AWS 當機受影響的大型企業 (15hr):
   Adobe Creative Cloud、Airtable、Amazon (incl. Alexa & Prime Video)、Apple Music、Asana、AT&T、Battlefield (EA)、Blink (Security)、Boost Mobile、Canva、ChatGPT、Chime、Coinbase、CollegeBoard、Dead By Daylight、Delta Air Lines、Duolingo、EA、Fanduel、Fetch、Fortnite (Epic Games services)、GoDaddy、Grubhub、HBO Max、Hinge、Hulu、IMDb、Instacart、Kik、League of Legends、Life360、Lyft、McDonald’s app、Microsoft (incl. 365, Outlook & Teams)、MyFitnessPal、Navy Federal Credit Union、Peloton、Pinterest、PlayStation Network、Pokémon Go、Rainbow Six Siege、Reddit、Ring、Robinhood、Roblox、Roku、ShipStation、Signal、Slack、Smartsheet、Snapchat、Square、Starbucks、Steam、Strava、T-Mobile、Tidal、Trello、Ubisoft Connect、United Airlines、Venmo、Verizon、VRChat、Wall Street Journal、Whatnot、Wordle、Xbox、Xero、Xfinity by Comcast、Zillow、Zoom
3. 電競滑鼠可能變成「竊聽器」，超靈敏感測器恐被當麥克風 ：
   人類日常說話時，又或是環境發出聲音時，聲波會引起桌面等固體表面產生非常非常微小的物理振動。而這些振動會傳遞到滑鼠上，就算是肉眼無法察覺的細微震動，也會被滑鼠底部的感測器捕捉下來，尤其是 20,000 DPI 以上，主打高階、超靈敏的感測器。 獲得震動數據後，研究團隊再透過專門開發的人工智慧模型，對這些數據進行分析和重組，最終還原成可辨識的語音，證實了這一概念的可行性
4. 國外用戶的備份硬碟無故被 Windows BitLocker 自動鎖住， 3TB 的遊戲和資料就這樣沒了 :
5. 銀行資安審查 納入外資背景 : 銀行公會公布最新版《金融機構資通系統與服務供應鏈風險管理規範》。新版規範首次要求銀行在選任供應商時，必須揭露持股25%以上的實質受益人與控制權來源國，等於將「外資背景」納入資安審查範圍
   - 核心系統全面納管：所有核心資通與第一類電腦系統都須遵循規範；第二、第三類系統若單筆採購超過1,000萬元，也要納入管理。供應商要過資安「安檢」：銀行在委外前須進行資訊安全可行性分析與集中度評估，並將安全成本納入採購規畫。最值得注意的是須揭露持股結構與來源國，若供應商的控制權來源國持股逾25%，銀行須確認其符合國內法規與資安要求。 (防堵:疑似陸資背景的科技公司，繞道新加坡來台承接國內銀行的信用卡核心系統升級專案)

工具

1. go v1.25.2 :
   security fixes archive/tar, crypto/tls, crypto/x509, encoding/asn1, encoding/pem, net/http, net/mail, net/textproto, net/url packages
   bug fixes : context, debug/pe, net/http, os,and sync/atomic packages
2. Understanding and Setting PostgreSQL JDBC Fetch Size : 這篇說明PostgreSQL JDBC Fetch Size 的測試，default 0 (無限大) 不會是最佳的設定(因為系統資源不會是無限大)，文章中的測試最佳值是 5000 ，最佳值和 client 硬體相關( a fetch size of 5000 even for smaller result sets still yielded a 22% improvement!)
3. GitHub Will Prioritize Migrating to Azure Over Feature Development:
   The plan, he writes, is for GitHub to completely move out of its own data centers in 24 months. “This means we have 18 months to execute (with a 6 month buffer),” 

故事線

1. 美國最大銀行之一 JPMorgan 宣布：將投入 1.5 兆美元為期十年，支持美國國家安全產業，包括國防、能源、AI 與量子科技
   - 供應鏈與先進製造：包括關鍵礦物、藥品前驅物與機器人技術
   - 國防與航太：包括防禦科技、自主系統、無人機、次世代連結與安全通訊
   - 能源自主與韌性：包括電池儲能、電網韌性與分散式能源
   - 前沿與戰略科技：包括人工智慧、網路安全與量子運算
   更具體地說，將這四大領域細分為27個子領域

AI

1. OpenAI 加入 AI 瀏覽器大戰，「ChatGPT Atlas」Mac 版釋出 ：
   - Vibe Lifing : 將繁瑣的個人與專業任務，大規模地委派給 AI Agent
   - Cursor Chat ：賦予 AI 直接編輯網頁文字欄位的能力。AI 可在原 Text input，進行潤飾、修改語氣或更正語法。不再局限於指定的聊天視窗，而是每一個輸入框
   - 瀏覽的過程中持續學習。它試圖理解你的偏好、你的工作模式
   - Agent mode: 研究分析、自動化工作、或在瀏覽網站時規劃活動和預訂行程，讓 ChatGPT 為你做事 不再只是提供建議，它會接管你的滑鼠與鍵盤
   - 可前往 chatgpt.com/atlas 下載安裝，而非透過 Mac App Store，Windows 版及 iOS 版、Android 版即將推出
   - 需注意隱藏指令攻擊的風險與防護，建議在敏感任務用登出模式，或全程監看代理行為
2. FigureAI 發布了專為家事而生的 Figure 03 人形機器人: Helix AI 系統，具備視覺、語言與動作一體化的強大能力，讓它能自主判斷並執行多項家務，例如澆花、送餐、折衣服、洗碗等生活助理任務。它的充電方式也極具未來感，採用無線充電設計，腳底感應線圈讓它只需站上充電底座就能自動補充電力，續航時間約 5 小時
3. 微軟打造「光學 AI 加速器」登上《Nature》，效率比 GPU 高百倍、MRI 與金融應用都能跑: 「快速定點搜尋（fixed-point search）」 的方法。它能直接在類比光學系統裡完成運算，不必像一般電腦那樣不停在「類比<->數位」之間轉換資料，省電又快。透過光子處理矩陣乘法、電子處理非線性運算與調整，每輪運算僅需 20 奈秒，透過「固定點搜尋」快速收斂結果。這樣的設計跳過了高成本的數位轉類比（DAC），也天然具備抗雜訊能力，成為目前少數能同時跑優化問題與 AI 推理的光學架構。能效目標是 500 TOPS/W（約 2fJ/操作），遠勝目前最高效能 GPU（如 NVIDIA H100 僅 4.5 TOPS/W），效能差距 達百倍以上
4. 衛福部要建置國家級智慧醫療SMART App市集，首波徵案今日開跑 :
   - TW Health App Space
   - 瞄準4大類別，包括醫學AI類、臨床決策支援類、資料視覺化類和營運管理類
5. DeepSeek-OCR :
   Context Optical Compression（上下文視覺壓縮）：視覺壓縮的創新方法，大幅降低 90% 以上的 Token 使用率，先把文件變成圖片，再用「視覺壓縮」技術把圖片變成少量的「視覺代碼」（vision tokens）再用 AI 把這些代碼還原成原本的文字壓縮比可以達到 10 倍以上

科技動態 

1. Wi-Fi 8 has Arrived to Drive the Wireless AI Edge(Broadcom): 這麼快
2. 個人用的 Windows 10 一定要去申請 ESU : 註冊申請"Windows 10 消費者延伸安全性更新 (ESU)" 可以"免費"延長到 2026 年 10 月 13 日 (備註：只有修補安全性更新)

資安事件

1. 駭客開始公布Qantas澳洲航空乘客資料 澳航：570萬客戶資料遭外洩 : Qantas遭駭的時間點可推測，Qantas很可能是遭到語音網釣攻擊，駭客假冒IT人員致電客服中心，並要求員工配合操作與交付登入資訊，而取得了存取其Salesforce管理介面的OAuth權杖
2. 組態配置不當的Elasticsearch存放1.12 TB資料，洩露逾60億筆記錄 : 含有來自一家烏克蘭商業銀行Accordbank的用戶資料，包括全名、電話號碼、生日、身分證號碼與地址。然而，Accordbank未曾揭露過資安意外事件。
3. 美國汽車製造商 Jeep對汽車的 OTA 更新，讓車子癱瘓失去動力 ：車輛在更新後卻發生高速行駛時動力降低甚至完全失去動力(在高速公路上無法動彈)，對此Stellantis表示此情況是由軟體更新所致，因此建議車主請忽略更新通知，而已更新系統的車輛則避免使用油電與純電模式。然而軟體更新造成車輛癱瘓已非首例，先前Rivian與Lucid就有發生過系統更新導致車輛無法行駛情況，而這也突顯出車輛搭載大量軟體系統和軟體主導車輛等安全性
4. 無印良品物流夥伴遭勒索病毒攻擊 暫停日本網購服務 ：

漏洞

1. Grafana RCE
   CVE-2025-11539, 9.9 Critical, Grafana Image Renderer is vulnerable to remote code execution due to an arbitrary file write vulnerabilit
   Fixed: >=4.0.17 (patch)
2. Oracle Java SE, Oracle GraalVM for JDK
   CVE-2025-53066, 7.5 High JAXP Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition accessible data. Note: This vulnerability can be exploited by using APIs in the specified Component, e.g., through a web service which supplies data to the APIs.
   FIXED: Oracle Critical Patch Update Advisory - October 2025
3. Oracle VM VirtualBox 
   CVE-2025-61760 7.5 HIGH
   CVE-2025-62587 8.2 HIGH
   CVE-2025-62588 8.2 HIGH
   CVE-2025-62589 8.2 HIGH
   CVE-2025-62590 8.2 HIGH
   CVE-2025-62641 8.2 HIGH
   FIXED: Oracle Critical Patch Update Advisory - October 2025
4. .NET ASP.NET Core Bypass front-end security controls - View sensitive data, including user credentials - Modify server files
   CVE-2025-55315 , 9.9 Crtical : Inconsistent interpretation of HTTP requests (HTTP request/response smuggling) in ASP.NET Core that allows an authorized attacker to bypass security features over a network. The vulnerability affects ASP.NET Core versions 2.3, 8.0, and 9.0.
   FIXED :
   - ASP.NET Core 2.3 (update to 2.3.6+)
   - ASP.NET Core 8.0 (update to 8.0.21+)
   - ASP.NET Core 9.0 (update to 9.0.10+)
   - Microsoft Visual Studio 2022 (various versions）
5. JDBC Driver for SQL Server Spoofing Vulnerability
   CVE-2025-59250, 8.1 High : Improper input validation in JDBC Driver for SQL Server allows an unauthorized attacker to perform spoofing over a network.
   PATCH : 根據 windows 202510/15
6. 2025.10.14日 微軟發布本月份例行更新 Patch Tuesday：175 CVEs (10 Critical)
   注意以下 : 修好了A，B又壞了
   - KB5066835更新 : 可能會發生智慧卡驗證問題 :智慧卡未辨識為 CSP 提供者、無法簽署文件、憑證型驗證的應用程式失敗、CryptAcquireCertificatePrivateKey 錯誤
   - KB5066835 更新 : USB 滑鼠和鍵盤無法在 Windows 復原環境中運作
   - Windows 11 updates break localhost (127.0.0.1) HTTP/2 connections : 使用這些更新後，開發者和應用程式無法透過 HTTP/2 成功連線至本機，會出現錯誤訊息如：ERR_CONNECTION_RESET、ERR_HTTP2_PROTOCOL_ERROR
   FIXED:
7. Angular SSR has a Server-Side Request Forgery (SSRF) flaw :
   CVE-2025-62427 , 9.1 Critical , uses the native URL constructor. When an incoming request path (e.g., originalUrl or url) begins with a double forward slash (//) or backslash (\\), the URL constructor treats it as a schema-relative URL. This behavior overrides the security-intended base URL (protocol, host, and port) supplied as the second argument, instead resolving the URL against the scheme of the base URL but adopting the attacker-controlled hostname
   FIXED: @angular/ssr 19.2.18 @angular/ssr 20.3.6 @angular/ssr 21.0.0-next.8
8. Windsurf path traversal through indirect prompt injection
   CVE-2025-62353, 9.8 Critical.  read and write arbitrary local files in and outside of current projects on an end user’s system. The vulnerability can be reached directly and through indirect prompt injection