2025.11 Notes #39

資安動態

1. Google Online Security Blog HTTPS by default ：Chrome 154 in October 2026, we will change the default settings of Chrome to enable “Always Use Secure Connections”
2. Azure全球大當機 微軟：服務中斷逾8小時終修復 : 生產力軟體Microsoft 365曾表示，服務因Azure中斷而受到下游影響，由Azure配置變更所引發的影響已經解決
3. 量子
   - Google 推出「量子迴聲」演算法 ：在 Willow 晶片上的運行速度，比目前全球最快超級電腦上的最佳經典演算法快上 13,000 倍
   - IBM 在 AMD芯片上運行量子計算算法
4. 丹麥數位部棄用微軟產品，轉投 Linux LibreOffice 追求數位主權 : 四年數位化策略的優先事項。如果一切按計畫進行，所有員工秋季就能改用開源解決方案。Stage 對媒體表示，這項決定也有助避免管理 Windows 10 電腦的昂貴工作
   - 荷蘭的國際刑事法院近日宣布——全面淘汰 Microsoft Office：轉向歐洲開源平台 openDesk。這套由德國 ZenDiS（數位主權中心）主導、政府資助的辦公系統，結合 Nextcloud、Open-Xchange、Jitsi Meet 等開源工具，能取代 Office、Teams、OneDrive，全程掌控在歐洲自己的伺服器與法域之內。
   # 英國、法國、荷蘭等公部門也陸續評估跟進。從 ICC 到歐洲各級政府，這股「脫離美國生態」的浪潮，或許正在改寫全球科技依附的版圖
5. 美國商務部正推動禁止 TP-Link 在美國銷售家用路由器，理由是該公司與中國的聯繫構成國家安全風險 ：TP-Link 再美國家庭和小型企業路由器市場約 65% 的市占率
6. Tykit 的網路釣魚工具包偽裝成 Microsoft 365 登入頁面
   Tykit Analysis: New Phishing Kit Stealing Hundreds of Microsoft Accounts in Finance & Construction
   Step 1: SVG as the delivery vector 利用 SVG 檔案夾帶惡意 JavaScript
   - 竊取企業帳號、密碼與 MFA 金融、政府、教育、建築與電信

工具

1. google osv-scanner： release v2.2.4
2. CycloneDX/cdxgen ：release v11.11.0
3. microsoft sbom-tool : release v4.1.3
4. pgAdmin 4 v9.9 –  psql, pg_dump, pg_dumpall, pg_restore: v17.5
5. Paperless-ngx document management system :
   - 開源的/無紙化辦公文件管理系統，將實體文件轉換為可搜尋的線上檔案庫
   - OCR 技術，能自動辨識文件內容並建立 index，支援多種文件格式包含 PDF、圖片、Office documents (Word, Excel, PowerPoint, and LibreOffice equivalents)
   - 具機器學習技術，系統可以智慧分類文件、自動標籤，強大的全文搜尋功能
   - REST API
6. 搜尋 1.1.1.1: Faster Internet : 下載安裝 WARP APP
   - 結合了Cloudflare的1.1.1.1 DNS，加上佈局全球的CDN（內容傳遞網路），以及VPN（虛擬私有網路技術），WARP 在個人裝置和您在網際網路上存取的服務之間建立安全連線。1.1.1.1 僅保護 DNS 查詢，而 WARP 保護來自您裝置的所有流量
   - 支援 Microsoft Windows、Apple macOS、Apple iOS 、Google Android 、Linux
7. Token-Oriented Object Notation (TOON) : 專為大型語言模型 (LLM) 設計的結構化資料格式，最小化語法、移除冗餘標點符號、採用縮排式結構以及表格化陣列等技術，在保持資料完整性的同時大幅降低 Token 消耗
   - Token-efficient: typically 30–60% fewer tokens than JSON
   - LLM-friendly guardrails: explicit lengths and field lists help models validate output
   - Minimal syntax: removes redundant punctuation (braces, brackets, most quotes)
   - Indentation-based structure: replaces braces with whitespace for better readability
   - Tabular arrays: declare keys once, then stream rows without repetition

故事線

1. OpenAI 推出 AI 資安研究員 Aardvark : GPT-5的 AI Agent: Aardvark，像資安研究員一樣)Agentic Security Researcher)，自動找出並修補程式碼漏洞 : 會先分析專案(Analysis)、掃描程式碼更動、在沙盒環境驗證漏洞，最後再用 Codex 產生修補建議(Patching) 給開發者審核
   OpenAI 目前開放 Beta 測試
   對標 Google 的  Google CodeMender : 偵測、修補與重寫易受攻擊的程式碼
   AI Agent 自動化漏洞偵測將是軟體供應鏈安全的關鍵技術

1. OpenAI  Sam Altman 和 Microsoft  Satya Nadella 表示最大的問題已經不是缺晶片，而是電力： Microsoft 現況是買了一堆 GPU 卻沒插電
2. Mammoth Cyber 瀏覽器通過 國家資通安全研究院（NICS）政府零信任驗證 :
   - 控管使用者對 Web 應用的操作權限。根據身分、裝置、地點與風險等條件判定可存取內容，並支援條件式授權、時效限制與應用程式專屬規則
   - 精準控管內、外部使用者權限，針對上傳、下載、列印、複製、截圖等行為進行即時防護
3. 匯智安全首發 M.2 介面高速 HSM 硬體安全模組 : WiSECURE M.2 HSM 是全球唯一以輕薄短小、高速運算與強化防護為設計核心的硬體安全模組，其可在伺服器與邊緣運算裝置中，提供高強度的金鑰管理與資料加解密功能，並支援 FIPS 203 / FIPS 204 後量子密碼（PQC） 標準 WiSECURE M.2 HSM 順應趨勢能在不占用空間的情況，安裝在現有平台，並支援多組模組堆疊運行

AI

1. 微軟曝 Copilot 使用率新功能！老闆現在能看你到底有多常用 AI ：「Viva Insights」模組，新增「Copilot 採用率基準（Copilot usage benchmark）」功能
   - 檢視不同部門、地區或職能角色在 AI 工具使用上的差異
   - 追蹤 Copilot 的活躍使用者比例與回訪率
   - 與公司內部其他團隊，甚至外部同業企業進行「使用率」對照
2. 微軟 Teams 新功能：自動偵測員工有沒有專心工作、在不在位子 :
   - 自動偵測員工位置與工作狀態: Teams 將於 12 月更新，透過連接公司 Wi-Fi 自動判斷員工是否在辦公室。
   - 若員工離開且斷線，系統會自動變更其工作地點
   - 即使使用虛擬背景，主管仍可得知員工是否在辦公室
3. AI寫程式神話破滅？Vibe Coding發明者坦言「簡直幫倒忙」，揭三大隱形成本
   - 複雜專案仍仰賴人類思考，僅靠感覺（Vibe）只會更麻煩
   - 開發者將大量時間耗費在引導 AI（Prompting）、等待回應，以及修復 AI 在複雜程式碼庫中產生的錯誤上
   - 95% 的開發者需要花費額外時間來 FIX AI 生成的程式碼；修復的時間比省下的還多
4. NEO家用機器人，一台兩萬美元，可放預購，有三年保固 : 10/29 開賣

科技動態 

1. 「拿不動就放下」，2.7 公斤重手機殼助戒斷手機成癮 ：6磅（約2.7公斤），能將智慧型手機瞬間變成一個沉重的啞鈴。初期測試顯示能「顯著減少螢幕使用時間」後，這款手機殼相容於 iPhone 13 至 17 系列（含 Pro 及 Pro Max 機型），售價為209美元（約台幣6,435元）
2. 台灣第一個 Apache Taipei 分部 成立 : 辦理Apache Conference等任務，有助台灣開源社群與國際的深度鏈結 (10/27)
3. Nike - the World’s First Powered Footwear System for Running and Walking : 有電源和動力的「動力跑鞋」，可以省力地讓你跑得更快更遠
4. X's handle marketplace will sell some 'rare' usernames for millions of dollars ：X平台是第一個公開出售 UserName 的平台，如果6個月沒有登入該平台，則放出售
5. Tell me how rich u are without actually telling me (請用不直接說出來的方式，讓我知道你很富有的討論) ，對此題 Notion 共同創辦人 Akshay Kothari 的回覆 :

Every morning, I wake up grinning, itching to tap dance to work. Every evening, I’m racing home, giddy to be with my family. 每天早上我帶著笑容醒來，期待去上班。每天傍晚，我又急著回家，迫不及待和家人在一起。」

資安事件

1. Gmail passwords exposed in 183 million account data breach :
   - 建議使用者啟用「2FA」或Passkeys ，以避免被盜
   - 超過 1.83 億組密碼遭到外洩不只 gmail，避免多名台共用同一密碼
2. EY Data Leak – Massive 4TB SQL Server Backup Exposed Publicly on Microsoft Azure
   - 全球會計前四大巨頭安永 (EY) 高達 4TB 的 SQL Server 備份在 Microsoft Azure 上「公開取用」 (巨大的 .BAK 檔案)，被公開掃描到，完全沒加密，可能包含API金鑰、連線階段的權杖、使用者憑證、身分驗證快取權杖，以及服務帳號的密碼
   - 雲端儲存配置錯誤（cloud bucket misconfiguration）
   - 安永未遵循 RFC 9116 在 security.txt 或任何資訊揭露其資安事件通報位址，並於一周後修復
   - 資訊安全的諮商與稽核業務 : 資訊安全方面涵蓋了風險管理、科技風險、網路安全轉型等領域，旨在幫助企業識別、評估並降低資訊安全風險，同時利用技術優勢建立信任與競爭力。他們提供多樣化的服務，包括管理制度導入（如 ISO 27001）、法規遵循、網路安全檢視、資安策略規劃等，並強調將資安整合進商業營運，以確保企業數位資產的安全，資料保護與隱私： 協助企業在整個資料生命週期中保護資料安全，包括個人資料控管與隱私保護。

1. 思科回顧今年勒索軟體Qilin攻擊事故，6月與8月均有近百個組織受害 iThome
   -「麒麟（Qilin）」勒索軟體竟利用 Windows Subsystem for Linux（WSL），讓 Linux 加密程式直接在 Windows 裡「開工」！
   - Qilin 透過 notepad.exe、小畫家，以及IE瀏覽器開啟檔案來確認，試圖在大量檔案找出有價值的敏感資料
   - 透過暗網取得的外流管理員帳密，來存取受害組織的VPN，竄改AD的群組原則物件（GPO）從而能夠利用遠端桌面連線（RDP）存取受害組織的網路環境。受害組織的VPN並未設置多因素驗證（MFA），使得駭客只要取得相關帳密，就能不受限制存取網路環境

漏洞

1. Windows Server Update Service (WSUS) RCE
   CVE-2025-59287, 9.8 Critical : 透過 WSUS 更新服務中的反序列化漏洞執行遠端程式碼，收集 AD 使用者清單、IP 與網路配置，並將資料傳送到 webhook.site。2012(KB5070887),2016(KB5070882), 2019(KB5070883), 2022(KB5070884), 23H2(KB5070879), 2025(KB5070881)
   - 8530/TCP及8531/TCP(TLS)的掃瞄活動大增，是前幾週的4倍
   - 美國網路安全暨基礎設施安全局（CISA）將此漏洞列入已遭利用的漏洞名單（KEV），並要求聯邦機構限期在11月14日完成修補
   FIXED : 2025/10 安裝更新後確實重新啟動系統
2. Apache Tomcat
   受影響的 Package  
   org.apache.tomcat.embed:tomcat-embed-core
   org.apache.tomcat:tomcat
     org.apache.tomcat:tomcat-catalina
   CVE-2025-55754 9.6, Critical Improper Neutralization of Escape, Meta, or Control Sequences vulnerability 
   CVE-2025-55752 7.7 , High Relative Path Traversal vulnerability
   FIXED : version 11.0.11 or later, 10.1.45 or later or 9.0.109 
3. GitLab
   CVE-2025-11447 7.5 High
   CVE-2025-10497 7.5 High
   Patch Release: 18.5.1, 18.4.3, 18.3.5
4. QNAP 備份軟體受到ASP.NET Core近滿分漏洞影響 ：NetBak PC Agent須搭配ASP.NET Core元件才能運作，受到CVE-2025-55315的影響，若NetBak PC Agent用戶未更新該元件，有可能會面臨CVE-2025-55315帶來的資安風險
   FIXED :
5. Moodle password brute force risk when mobile/web services enabled
   CVE-2025-62399 7.5 High Moodle’s mobile and web service authentication endpoints did not sufficiently restrict repeated password attempts, making them susceptible to brute-force attacks.
   FIXED : v5.0.3 4、v4.5.7
6. Docker Compose : Path Traversal via OCI Artifact Layer Annotations 可讓攻擊者在雲端容器寫入任意檔案
   CVE-2025-62725: 8.9, High, Path Traversal via OCI Artifact Layer Annotations · Advisory · dockercompose
   FIXED : Docker Compose v2.40.2
7. Windows SMB 列入 KEV
   CVE-2025-33073 CVSS 8.8 HIGH，列入已知利用漏洞清單（KEV不當的存取控制，會導致經授權的使用者利用網路提升權限 要求所有聯邦機構在法定期限內（11月10日以前）修補這個漏洞 所有組織機構跟進修補
8. Keycloak TLS Client-Initiated Renegotiation Denial of Service
   CVE-2025-11419 ： 7.5 High，org.keycloak:keycloak-quarkus-dist (Maven) default JDK setting that permits Client-Initiated Renegotiation in TLS 1.2. An unauthenticated remote attacker can repeatedly initiate TLS renegotiation requests to exhaust server CPU resources, making the service unavailable. Immediate mitigation is available by setting the -Djdk.tls.rejectClientInitiatedRenegotiation=true Java system property in the Keycloak startup configuration
   FIXED : v26.2.10, v26.4.1