2026.01 Notes #43

資安動態

1. Windows 10 / 11 作業系統所使用的三張安全憑證將於 2026 年 6 月起到期 :
   - Windows 10 / 11 的 KEK CA 2011、UEFI CA 2011 及 Windows Production PCA 2011 憑證有效期為 15 年，因此將在 2026 年 6 月及 10 月正式到期
   - 非 LTSC 版本且未參加 ESU 擴充安全性更新計劃的User，不會自動取得憑證更新
   - 如果安全憑證過期，將導致 Secure Boot（安全啟動）功能失效，系統將無法安裝任何安全性更新
2. 114 年資安服務廠商評鑑結果 PDF :
   雲力橘子之前沒聽過噎. 娶這樣的名字 創辦人應該是很有自信吧 ！？
3. 釣魚郵件改以HTML表格繪製QR Code，恐規避影像偵測 ：
   Quishing 陷阱，郵件並未以圖片嵌入QR Code，而是使用HTML表格的儲存格逐格指定黑白背景色，在郵件內文中繪製可掃描的QR Code圖樣，有機會降低既有偵測規則的命中率，成為QR Code釣魚的另一種繞過途徑
4. 中華電信完成內部憑證治理重整工作並取得第三方稽核，已申請重返Chrome信任清單:
   - 12月31日宣布旗下的根憑證管理中心（CHT TrustRoot CA）已完成為期約半年的組織與制度重整，並通過國際 WebTrust for Certification Authorities第三方獨立稽核，相關稽核報告已獲瀏覽器業者採認，並已於12月29日正式向Google Chrome申請加入根憑證預設信任清單
   - 已導入多項憑證自動化與驗證工具，包括 PKIlint 與 zlint，以降低憑證簽發錯誤風險，並強化多重審查機制
   - 開始導入PQC 相關防護機制，並透過ACME協定，推動網站憑證生命週期自動化管理
5. Let's Encrypt明年起導入Generation Y憑證鏈，新憑證不再支援TLS用戶端驗證 ：
   逐步讓新簽發憑證不再包含TLS用戶端驗證的延伸金鑰用途（EKU），讓憑證用途更聚焦在TLS伺服器（tlsserver）驗證。同時也將依產業規範，逐步縮短憑證有效期
6. 數位憑證皮夾試營運 :
   首波應用是「超商領包裹」
7. Toyota 將全面支援 Apple Wallet 數位鑰匙 :
   Apple Wallet 數位鑰匙利用了 NFC 或超寬頻 UWB 技術，實現了所謂的被動進入。車主只需帶著手機靠近車輛，車門便會自動解鎖，離開時也會自動上鎖
8. Anna's Archive 宣佈從 Spotify 上拉出了 300TB 的音樂資料:
   音樂庫被打包帶走(史詩級的數據量與災難)
   「備份」包括了 99.9% 的 metadata 與 99.6% 的音檔
   300TB 的數據，包含了 8600 萬個音訊檔，這相當於 Spotify 平台上 99.6% 的播放內容
   P2P 免費放送P2P 的去中心化世界裡，不存在刪除鍵網路上核彈級
   破解了 Spotify 的數位版權管理 (DRM)，他們是用爬蟲把 Spotify 的公開元數據全部刮了一遍，然後順藤摸瓜，把加密的音訊檔硬生生撬開
9. 南韓要求明年3月起開通手機門號，需經過臉部辨識驗證身分
   韓國三大行動營運商，包括SKT、KT、LGU+及其他行動電信商在其手機註冊流程中，引入臉部辨識過程
10. 密碼管理公司LastPass資料外洩影響延燒迄今，俄羅斯駭客疑竊取2,800萬美元 :
    基於160萬英國用戶個資外洩，在2025年12月初判罰LastPass 120萬英鎊
    LastPass資安防護不周已引發用戶集體控告
11. PS5 BootROM金鑰疑外流，既有主機難靠更新根除風險
    PS5 的 ROM 金鑰被成功取得，BootRom（開機時第一個被執行的部分）能被解出分析與修改；
12. 研勤科技「PAPAGO FACE8台灣臉霸」人臉辨識設備，傳出內部使用中國製零組件
    拆解移民署百萬臉部打卡機　研勤違法使用中製零組件鐵證曝光
    研勤公告 : 本公司所生產之臉部辨識解決方案，係由本公司自行開發，並經本公司進行測試完成，再出貨安裝於客戶，完全符合台灣製造之規範，也完全符合政府採購法 之規定與程序，並無資安或國安疑慮。 其他應敘明事項:本公司主晶片採用台灣聯發科技（MediaTek）開發之MT8788解決方案。通訊晶片採用台灣瑞昱半導體之 RTL8152B晶片。以上主晶片均採聯發科方案絕無資安及國安疑慮。

工具

1. PortKiller (github)：跨平台的埠管理工具，掌控你的開發環境
   - A powerful cross-platform port management tool for developers. Monitor ports, manage Kubernetes port forwards, integrate Cloudflare Tunnels, and kill processes with one click. 介面直覺，支援一鍵殺 Process、自動偵測、通知與分類
   - Port Management :
   Auto-discovers all listening TCP ports、
   One-click process termination (graceful + force kill) 、
   Search and filter by port number or process name、
   Smart categorization (Web Server, Database, Development, System)
   - 自動偵測 : 所有正在 Listening 的 TCP ports，並且提供搜尋、分類、設定最愛、加入監看，一鍵 kill Process
   - 支援 macOS 和 Windows 原生 UI
2. 供應鏈攻擊瞄準 Java生態(Spring Boot)，Maven Central 仿冒Jackson惡意套件 :
   Spring Boot，惡意套件會偽裝成框架常見的自動設定元件，利用啟動時的掃描與載入流程，在應用程式啟動後自動觸發執行，開發者不需要在程式碼中主動呼叫即可被帶入執行路徑
   org.fasterxml.jackson.core:jackson-databind，貼近開發者熟悉的Jackson相依套件，藉此誘騙下載惡意元件

故事線

1. StackOverflow 已經降到第一個月的流量 Stack Exchange Data Explorer
   2008 的問題數量是 3749 個，PEAK到 20 萬的等級，但是2025/12結算變成 3710 個
2. Tailwind CSS 席捲全球，創辦人卻陷入「越受歡迎越虧錢」的裁員危機 ：
   - Tailwind Labs 裁員 75%，好的產品也要有好的商業模式
   - 26/01/09 Google AI Studio is now sponsoring Tailwind CSS.
3. Arm 發佈 20 項技術預測：分享 2026 年及未來發展趨勢
   - 以資安為核心的晶片設計成為不可妥協的基本要求 :Arm 記憶體標籤擴充 (MTE)、硬體可信任根和機密運算安全區域等技術，將成為晶片的標準配備功能，而非選配元件。此外，個人與企業正將越來越多的高價值數位資產儲存在 AI 系統中，包括專有資料集、業務邏輯、使用者憑證、個人歷史資料及財務資訊等，這就需要在晶片層面部署多重安全防護措施，包括加密強制隔離、記憶體完整性及運行時驗證等多層安全機制
4. Google Cloud 史上最大訂單出爐！Palo Alto 豪擲近百億美元押注 AI 資安
   - Palo Alto 承諾未來數年內將支付「接近 100 億美元」給 Google Cloud，這是 Google Cloud 有史以來最大的安全服務合約
   - Google 先前以 320 億美元收購資安公司 Wiz 
   - Palo Alto 則在 10 月推出 AI 驅動的資安產品，11月宣布以 33.5 億美元買下軟體公司 Chronosphere
5. Google怕缺電 乾脆砸1,500億收購綠電開發商：
   Alphabet 豪擲 47.5 億美元（約新台幣 1,500 億）現金，收購了 Intersect Power 這家乾淨能源開發商 (手上的案場加上未來規劃，發電量大約是 15.5 GW)
6. 美國NIST原子鐘故障，衝擊NTP網路時間協定服務:
   NIST 22 日發出警告，由於 NIST 園區發生長時間的電力中斷， NIST-F4 主原子時鐘因而出現偏移，NIST 警告其公共網絡授時服務「不再具有準確時間的參考價值」，暫時未知何時恢復正常。NIST 授時服務是全球重要參考，它是採用 NIST-F4原子時鐘透過銫原子精確測量一秒的長度，為 GPS系統、資料中心、電訊系統、發電系統、金融、科技等領域提供精準的計時依據，要求時間保持在亞秒級精準，以確保全球系統的同步運作和數據的準確性，是全球授時領域的重要標準制定者，Windows 預設的時間同步就是採用 NIST 授時服務
7. Cursor買下AI程式碼審查與協作平臺Graphite
8. 金管會公布資安發展藍圖　明年擬提後量子密碼遷移指引 :
   - 金融資安韌性發展藍圖，預計2026年起為期4年分階段推動
   - 簡報、懶人包下載處
   (一）強化資安長賦權及問責，才能更好讓資安長擁有相當權限、資源來應對資安議
   （二）推動零信任架構導入向成熟階段發展，先前金管會以發布「金融業導入零信任架構參考指引」，從身分、設備、網路、應用程式與資料出發，條列36項實作參考原則分級表，如今希望成熟度提升之餘，也能漸進納入基礎規範。
   （三）推動業者跟上軟體設計即安全（Secure By Design）的國際趨勢，鼓勵資安左移以降低資安風險及漏洞處理成本，而不是軟體開發後部署才開始防護，以及持續推動軟體供應鏈SBOM透明化。
   （四）擴大金融業供應鏈聯防及情資分享，不只是金融業之間，也和供應鏈分享情資。此外，今年增加外部攻擊面管理（EASM）之餘，也希望增加金融業生態供應鏈、PSIRT、VDP方面的發展，並加強與國際合作
9. Palo Alto Networks有意以4億美元買下以色列資安新創Koi Security :
   - Palo Alto Networks有意以4億美元的價格，買下2024年成立的Koi Security
   - 主要是因為AI技術對資安領域帶來快速的變化，於是他們打算透過買下Koi Security，進一步整合XDR與EDR等資安防護方案
10. Apple 與 Google 正式達成合作協議，Apple Foundation Models 將直接採用 Google Gemini
    Apple 測試了 Google Gemini、OpenAI ChatGPT、Anthropic Claude 三大主流模型，最終選擇 Google Gemini (整合至 iOS 27 及 macOS 27 系統)
    ---> Gemini 涵蓋 : Android + Chrome + iOS + Safari
    2026 年首份全球 AI 追蹤 (26/01/08)
    Gemini 突破性成長： 流量正式突破 21.5%。與 12 個月前僅 5.7% 的市佔相比，成長超過3倍。ChatGPT 龍頭縮水： 跌破 65% 。12 個月前 ChatGPT 曾佔全球 86.7% 的流量。
    Grok 的份額超過 3%，正逼近 DeepSeek

AI

1. 改程式碼竟被AI罵「傻逼」　騰訊急致歉：非人工、模型異常 ：
   騰訊旗下生成式 AI 產品「元寶」近日引發爭議。在使用元寶協助修改程式碼時，遭系統以明顯帶有辱罵與貶抑意味的文字回覆在回覆中出現多段情緒化且具攻擊性的文字，包括「你這麼事逼（麻煩、囉嗦）的用戶我頭一次見」、「改來改去不煩嗎」、「自己不會調 CSS 嗎」，甚至直接以「傻逼」等粗俗用語形容使用者，引發外界質疑生成內容已明顯失控相關情況並非單一事件，並進一步公開多段對話截圖與實際操作錄影，強調整個使用過程「100% 真實」，全程未使用任何敏感或引導性指令
2. 【CES 2026】AMD 新品一次看：全球最小開發平台 AMD Ryzen AI Halo ：
   不連接雲端的情況下，在本地運行高達 2,000 億參數（200B）的大型模型，讓開發者隨時隨地進行開發，預計今年第二季上市
   Ryzen AI Max 對標 MacBook Pro，配備 128 GB 統一記憶體，並原生支援 ROCm 軟體棧與領先的開源工具

科技動態 

1. 台灣主導 SEMI E187半導體設備資安標準
   台積電跟SEMI以及數發部合作，共同推動了《SEMI E187半導體設備資安標準》。以後如果有半導體設備廠想要成為台積電的供應商，都必須先通過這個認證，達到一定的資安水準這是一個前所未有的機會 (以往都是美國跟歐盟在制定標準，必須花大錢從歐美找認證機構、軟硬體設備來做認證)
2. 美國國務院近日一紙命令掀起風波：全面停用微軟預設的 Calibri，所有正式公文一律改回 Times New Roman，理由不只是「看起來比較正式」，而是直接點名前朝政策是在搞「覺醒文化」、浪費行政資源

資安事件

1. 多款主機板UEFI實作存在缺陷，開機前恐遭直接記憶體存取攻擊 ：
   UEFI資安漏洞，可能讓上述防護機制失效，使系統在早期開機階段暴露於DMA攻擊風險之下。受影響的品牌包括華擎科技（ASRock）、華碩（Asus）、技嘉（Gigabyte）與微星（MSI），涵蓋多款採用Intel與AMD晶片組的主機板。
   相關廠商陸續釋出新版韌體，CERT/CC呼籲終端使用者與系統管理員儘速套用更新
2. 未設驗證MongoDB資料庫曝16 TB職涯資料，近43億筆含大量LinkedIn個資:
   Mongobleed PoC Exploit Tool Released for MongoDB Flaw that Exposes
   Sensitive Data 使用 zlib 時沒有正確處理長度資訊
3. Ex-Samsung employees indicted over leak of state-designated tech to Chinese chipmaker
   - 南韓檢方逮捕了 5 名前三星員工涉嫌向中國記憶體大廠長鑫存儲（CXMT）洩漏三星 10nm DDR5 核心技術，協助長鑫存儲成為中國首間、亦是全球第 4 家量產 10nm 級 DRAM 記憶體顆粒的公司
   - 部分人已任職長鑫存儲研發部門，其中一人更成為公司董事。調查過程中，檢方發現他們洩漏了數百項 10nm 級 DRAM 工藝流程
   - 長鑫存儲得以在 2023 年生產出中國首款 10nm DRAM 晶片，包括 HBM3 及 DDR5 記憶體
   - SK Hynix 的第六代 10nm DRAM 製程預計要到 2024 年底才開始量產，三星本身亦投入了 1.6 兆韓元（約 10.8 億美元），歷時五年研發 10nm DRAM
   - 南韓檢方估計，今次洩漏事件已令南韓蒙受高達數萬億韓元的經濟損失
4. 成人網站PornHub合作的資料分析服務公司傳出遭ShinyHunters入侵，部分付費會員資料恐外流
   駭客組織ShinyHunters聲稱這起攻擊行動是他們所為，並向包含PornHub在內的多家Mixpanel客戶進行勒索
5. IG傳大規模個資外洩！1750萬名用戶資料疑遭暗網釋出

漏洞

1. QNAP NAS
   - CVE-2025-59384 8.1 HIGH Qfiling 可能繞過原先預期的路徑限制，讀取不應被存取的檔案內容或系統資料
   - CVE-2025-59387 8.1 HIGH SQL injection If exploited, a remote attacker can execute unauthorized code or commands.，該漏洞允許遠端攻擊者執行未授權程式碼或命令
   FIXED : QTS或QuTS hero的App Center，將對應應用程式更新至已修補版本或更新版 Qfiling 3.13.1 and late
2. Critical jsPDF flaw lets hackers steal secrets via generated PDFs
   - 用途: 在前端HTML 內容轉換為PDF，適合需要動態產生文件，如報表、發票、制式表單、報告、單據等等)
   - CVE-2025-68428 9.2 CRITICAL : a local file inclusion/path traversal issue in the library’s loadFile method.
   jsPDF團隊建議在應用程式處理使用者輸入時，特別留意檔案路徑的來源與合法性，避免將未經檢查的路徑直接交由jsPDF處理
   FIXED : v4.0.0，If you upgrade to jsPDF 4.0.0 but configure Node.js with broad read permissions to keep the application running, you remain vulnerable
3. GitLab
   CVE-2025-9222 : 8.7 HIGH allowed an authenticated user to achieve stored cross-site scripting by exploiting GitLab Flavored Markdown
   CVE-2025-13761: 8.0 HIGH allowed an unauthenticated user to execute arbitrary code in the context of an authenticated user's browser by convincing the legitimate user to visit a specially crafted webpage.
   FIXED: 18.7.1、18.6.3與18.5.5
4. Apache Struts
   CVE-2025-68493 8.1 HIGH，Missing XML Validation vulnerability in Apache Struts
   FIXED : version 6.1.1
5. Keycloak JAVA
   CVE-2025-11419 7.5 High , allows an unauthenticated remote attacker to cause a denial of service (DoS) by repeatedly initiating TLS 1.2 client-initiated renegotiation requests to exhaust server CPU resources, making the service unavailable
6. nginx Ingress Controller vulnerability
   CVE-2025-14727 8.7 HIGH A vulnerability exists in NGINX Ingress Controller's nginx.org/rewrite-target annotation validation. ref
7. Windows Kerberos Elevation of Privilege Vulnerability
   CVE-2026-20849 7.5 High eliance on untrusted inputs in a security decision in Windows Kerberos allows an authorized attacker to elevate privileges over a network