2025.11 Notes #40

資安動態

1. 蘋果宣佈 Digital ID，未來出示iPhone即可用於美國國內250多個機場 : 未來出示iPhone和Apple Watch就能用於美國國內航班身份驗證
   Apple Announces Launch of U.S. Passport Feature in iPhone's Wallet App
2. 數發部擬 12 月公布數位憑證皮夾 3 項 PoC，建安全生態系 : 數發部希望在超商導入
3. IBM 發表全新量子處理器、軟體與演算法: 2025 年底120 個qubits
   - 「模組化」戰略：「Cockatoo」處理器 : Cockatoo」處理器的任務，就是驗證這個「量子網路線」（通用適配器）可行，讓兩個獨立的量子晶片能像一個單一、更大的處理器一樣協同工作。Nighthawk + Cockatoo「能擴展」的技術
4. Windows 11 與 1Password、Bitwarden 整合「通行密鑰」登入 ：一次設定，多平台同步。2025/11 月更新版 Windows 11 推出，目前仍處於 Beta 測試階段 密碼管理器近年已支援通行密鑰同步，1Password 與 Bitwarden 就能讓用戶在手機、筆電、桌機間共用同一組登入憑證。
5. 導入Rust讓Android記憶體漏洞降至兩成以下，還提升交付效率 :
6. Google啟動Android開發者身分驗證新制，保留側載並新增學生與進階用戶方案 :
   - 針對學生與業餘開發者族群，Google表示正設計專用帳號型態，讓這類開發者可以不走完完整驗證流程，將作品發布到有限數量的裝置
   - 將設計一套新的安裝流程，容許在明確理解風險後，仍選擇安裝未經驗證的應用程式(更明確的警示文字與互動設計)
7. Google爆「偷看信件」風波　Gemini遭控偷看郵件、蒐集個資 : 今年 10 月卻被指「悄悄」預設開啟 Gemini，使 AI 在使用者毫不知情的狀況下開始擷取個資。訴訟指出，雖然使用者仍能手動關閉 Gemini，但必須深入 Google 的隱私設定頁面才能完全停用。若未進行該步驟，Gemini 將可讀取並利用使用者完整的私人通訊紀錄，包括 Gmail 帳號內所有收發郵件與附件內容。
8. 20 億筆密碼大調查：「123456」稱霸榜首，65% 用戶密碼長度不達標 : 65.8% 密碼少於 12 個字元，6.9% 更少於 8 個字元，僅 3.2% 使用 16 個或以上字元。61% 機構計劃於 2025 年轉向無密碼方案，87% 資訊科技主管表達強烈意願。全球無密碼認證市場預計於 2025 年達到 220 億美元，未來 10 年更將增長至近 900 億美元。儘管如此，在無密碼認證普及前，遵循密碼安全最佳實務仍然至關重要。
9. 資安院啟動產品資安漏洞獵捕活動　11家廠商投入、獎金總超過700萬元 :
   - 本次共有11家廠商報名藍隊，設備類型涵蓋路由器、NAS、VPN設備，以及邊緣運算模組
   - 今年12月1日至明年1月31日，在指定測試環境進行產品漏洞挖掘，若是成功通報有效漏洞，紅隊成員將能根據漏洞嚴重程度，獲得相應的獎金與榮譽證明
10. CloudFlare  11 月 18 日的服務中斷事件:
    - AWS 掛、GCP掛，沒想到連CloudFlare 也掛(比 AWS/GCP 還嚴重 DNS 無法解析)
    一度誤判是超大型 DDoS 攻擊，台灣時間 2025/11/18 19:48 ~ 2025/11/18 11:40
    - 因為11:05 一個資料庫系統的權限變更所觸發，意外產生的 Bot Management feature file 出現大量重複
    - 誤以為是一串高流量的 Aisuru 分散式阻斷服務攻擊的延續
    - 解法是停止壞掉檔案的同步，並改回舊版正常檔案
    - 看了 SLA . 100% 的保證，不知道會不會被客戶求償

標準

1. OWASP Top 10 2025 near-final draft 11/20 :
   - 兩大新類別揭示：
   第三名 : A03 Software Supply Chain Failures軟體供應鏈故障: 從套件依賴、CI/CD、到建置系統漏洞，供應鏈安全成為首要最具急迫性的新興威脅
   A10「特殊情況處理不當」錯誤邏輯與故障設計導致資安漏洞與服務中斷
   - 第一名 : Broken Access Control(存取控制破壞)現在包含了伺服器端請求偽造 (SSRF)，該漏洞先前是單獨類別
   - 第二名 :  Security Misconfiguration安全配置錯誤 : 應用程式與雲端環境配置複雜度預設密碼、未修補的漏洞、不當的權限設置等錯誤

工具

1. google osv-scanner ：Release v2.3.0
2. Announcing .NET 10 :  Long Term Support (LTS) release and will be supported for three years until November 10, 2028. We strongly recommend that production applications upgrade to .NET 10 to take advantage of the extended support window, significant performance improvements, and new capabilities.
3. PostgreSQL 13 Is Reaching End of Life. The Time to Upgrade is Now!
4. Canonical expands total coverage for Ubuntu LTS releases to 15 years with Legacy add-on ：Ubuntu A 15-year lifecycle for stability(把本來 LTS 的 12 年方案拉長到 15 年 ）

故事線

1. Google/ Wiz 320億美元收購案通過美國政府反托拉斯審查 320億美元收購資安業者Wiz一案，上周通過美國司法部的反托拉斯審查，向其歷來最大收購案底定再推進一步Wiz，將整併進Google Cloud部門。其他巨型收購案還包括Palo Alto今年7月以250億美元買下身份安全業者CyberArk，2024年思科用280億美元買下資料分析業者Splunk，以及2021年私募基金業者Thoma Bravo以123億美元收購電子郵件安全平臺Proofpoint等
2. Cursor 今年第三次募資 ：年度經常性收入（ARR）史上最快達到 10 億美元的公司
3. Google Antigravity IDE: Google 版的類 Cursor/Windsurf IDE
   瀏覽器｜支援 Windows、macOS、Linux
   (Cursor 怎麼辦 ? 又一個要畢業 ?)

AI

1. Google Gemini 3 剛剛投下了震撼彈。Gemini 3 Pro 數據釋出，在 MathArena 測試中達到了驚人的 23%
2. xAI 正式發布 Grok 4.1 ：超越在排行榜霸榜超久的 Google Gemini 2.5 pro，來到第一名
3. Paper2Video 學術論文自動變成專業簡報影片：讓學術論文自動變成專業簡報影片的 AI 系統 : 開源專案，它能將學術研究論文自動轉換成專業的簡報影片。你只需要提供三個素材：一份 LaTeX 格式的論文、一張作者頭像照片，以及一段 10 秒的語音樣本，系統就會自動產生一支包含投影片、語音旁白、字幕、游標動畫和虛擬講者的完整學術簡報影片。來自新加坡國立大學 Show Lab 團隊，已被 NeurIPS 2025 Workshop 接受，並在 HuggingFace Daily Paper 上獲得關注。它不僅是一個工具，更建立了全球第一個學術簡報影片生成的評估基準（benchmark）
4. Code Wiki : 自動掃描完整的程式碼儲存庫，並且每次程式碼有變更後，都會重新生成結構化文件，確保說明文件與程式碼始終保持同步
   自動產生最新的架構圖與類別圖
   Google Try it with your own private repository (Coming Soon)
5. microsoft/call-center-ai : 開源的語音客服框架結合語音辨識、翻譯與大型語言模型，打造能自動接聽、對話與翻譯的 AI 通話系統
6. 可口可樂最新推出了 2025 年的聖誕廣告，這次全部都用 AI 生成
7. Sacks, Andreessen & Horowitz: How America Wins the AI Race Against China :
   擔心的是出現「Orwellian AI」，像喬治·歐威爾小說《1984》描述的那樣。
   這種 AI 會為了當權者的政治目的，說謊、扭曲答案，甚至改寫歷史
8. Apple Vision Pro's Persona Avatars Are Evolving Fast - CNET

科技動態 

資安事件

1. 羅浮宮監視攝影機使用LOUVRE當密碼、EoL的Windows版本 視訊監控系統的密碼就是「LOUVRE」由Thales提供的監視攝影機，密碼則使用「Thales」。
2. 利用約聘人員存取憑證 竊取三星公司機密資料 : 駭入三星後，從MS SQL及AWS S3資料庫存取公司資料。資料類型涵括了軟體原始碼、私密金鑰、SMTP憑證、配置檔、寫死在程式中的憑證，另外也包含使用者可辨識身份個人資料（PII），後者是來自醫療資訊備份
3. 華盛頓郵報Oracle EBS資料外洩事件影響近萬員工、約聘人員 : 濫用CVE-2025-61882或CVE-2025-61884
   2) 日立子公司GlobalLogic、英國衛福部的Oracle EBS系統也遭駭 (CVE-2025-61882)
   3) 羅技傳因Oracle零時差漏洞攻擊資料遭竊　疑外流1.8TB資料 CVE-2025-61882 可能包含員工及消費者部份資訊、以及客戶、供應商資料
4. 無印良品網路商店可能發生顧客個人資料外洩情形 : 顧客的姓名、住址、電話號碼與訂購商品內容，惟並不包含信用卡資料

漏洞

1. Microsoft SQL Server Elevation of Privilege Vulnerability ：
   CVE-2025-59499 CVSS: 8.8 High，mproper neutralization of special elements used in an sql command ('sql injection') in SQL Server allows an authorized attacker to elevate privileges over a network.
   FIXED: SQL Server 2016/2017/2019/2022 
2. Windows Kerberos Elevation of Privilege Vulnerability :
   CVE-2025-60704 CVSS: 7.5 High，Missing cryptographic step in Windows Kerberos allows an unauthorized attacker to elevate privileges over a network.
   FIXED: Windows 10/11/2008/2012/2016/2019/2022/2025，
3. pgAdmin4: RCE + LDAP injection vulnerability in LDAP authentication flow
   - CVE-2025-12762 9.1 Critical . Remote Code Execution (RCE) vulnerability that occurs when running in server mode and performing restores from PLAIN-format dump files. This issue allows attackers to inject and execute arbitrary commands on the server hosting pgAdmin, posing a critical risk to the integrity and security of the database management system and underlying data.
   - CVE-2025-12764 7.5 High, version <= 9.9  is affected by an LDAP injection vulnerability in the LDAP authentication flow that allows an attacker to inject special LDAP characters in the username, causing the DC/LDAP server and the client to process an unusual amount of data DOS.
   - CVE-2025-12765  7.5 High, version <= 9.9 is affected by a vulnerability in the LDAP authentication mechanism allows bypassing TLS certificate verification
4. libxml2 namespace use-after-free in xmlsettreedoc() function of libxml2
   CVE-2025-12863 7.5 High A flaw was found in the xmlSetTreeDoc() function of the libxml2 XML parsing library. This function is responsible for updating document pointers when XML nodes are moved between documents. Due to improper handling of namespace references, a namespace pointer may remain linked to a freed memory region when the original document is destroyed. As a result, subsequent operations that access the namespace can lead to a use-after-free condition, causing an application crash.
5. Fortinet WAF FortiWeb 已列入 KEV 11月6日於駭客論壇兜售FortiWeb零時差漏洞
   CVE-2025-64446 9.8 Critical allow an unauthenticated attacker to execute administrative commands on the system via crafted HTTP or HTTPS request
   FIXED : 8.0.2版、7.6.5、7.4.10，7.2.12
6. IBM AIX arbitrary command execution
   CVE-2025-36251 9.6 CRITICAL nimsh service SSL/TLS implementations could allow a remote attacker to execute arbitrary commands 
   CVE-2025-36250 10 CRITICAL  NIM server (formerly known as NIM master) service (nimesis) could allow a remote attacker to execute arbitrary commands
   CVE-2025-36096 9.0 CRITICAL stores NIM private keys used in NIM environments in an insecure way which is susceptible to unauthorized access by an attacker using man in the middle techniques
   Fixes : https://www.ibm.com/support/pages/node/7251173