2024.08-Note #8

資安動態

1. Google解決Chrome密碼管理工具的臭蟲 : 有Chrome用戶在Reddit反映儲存密碼消失的情形，Google目前先推緊急修補，指出有25%用戶已更新到特定版本，但有2%出現這樣的情形
2. 國泰金控結合SBOM軟體物料清單加強軟體供應鏈安全 :
   a. CycloneDX 和 Syft 兩款開源工具 : SBOM 表的生成
   b. Dependency Track : 利用SBOM即時分析依賴元件並識別漏洞，來視覺化和管理第三方元件及相似性，Dependency Track介面中，不僅看到元件名稱以及版本資訊及使用許可資訊，開發人員還能檢視所匯入的應用程式，包含弱點
   d. Google的GUAC建立可視化的SBOM表：視覺化的SBOM 表中可以用樹狀圖的方式呈現應用程式中不同元件之間的關聯
   e. 簽核和授權機制：導入了Cosign工具用於 SBOM簽核，確保SBOM表的異動歷程都有完整的記錄。此外，在SBOM 匯入後，進一步將應用程式整合到DevOps敏捷的CICD流程
3. Apple- Announcing Swift Homomorphic Encryption : Homomorphic encryption 的重點在於可以對 ciphertext 進行運算，並且用 Live Caller ID Lookup 當作範例(實作在 iOS 18)
4. 日本網路安全公司趨勢科技正在考慮出售 : 日本的 ? 紅豆妮 ?
5. DigiCert註銷逾8萬個SSL憑證 : DigiCert發現在CNAME-based的網域驗證案例中，有將近0.4%已通過者其CNAME並未加入底線前綴的隨機值。按照CA/Browser Forum（CABF）的規定，這些網域憑證必須在24小時內註銷，無一例外
6. 中華資安國際預計8月20日上興櫃 : 中華資安國際由中華電信轉投資的資安子公司，並於2018年1月16日正式成立
7. 科技業者資料庫配置不當，導致美國460萬選民資料曝露網上: 伊利諾州13郡選民和選舉資料庫未受密碼保護，個人資料暴露在網際網路上
8. 太陽能發電系統存在重大漏洞，若不修補恐導致大規模停電 :
   a. OAuth身分驗證有關的API端點可被用來為任意使用者產生適用憑證
   b. 憑證重複使用，研究人員發現由寧波德業雲端平臺簽章的憑證，竟然也能在Solarman使用，並能完全存取相同ID的使用者帳號
   c. API端點回傳過多企業組織資訊，有可能曝露電子郵件信箱及電話號碼等
   d. 帳密寫死
9. CrowdStrike總裁親自領取「史詩級失敗」獎項 : CrowdStrike總裁Michael Sentonas上周出現在DEF CON的Pwnie Awards頒獎典禮上，並親自領取了「史詩級失敗」（Most Epic Fail）的資安獎項，臺下則響起一片歡呼聲來鼓勵Sentonas的勇氣( 「資安界奧斯卡」美稱的 Pwnie Awards 頒獎典禮) 他希望將這個獎項放在公司顯眼處來提醒員工們
10. 韓擁4千萬用戶Kakao Pay　將5百億個資交給中國支付寶: Kakao Pay在過去6年間，在未經用戶同意下，將542億件用戶個人信用資訊，提供給中國螞蟻集團旗下的支付寶（Alipay）
11. NIST正式發布3款PQC標準，鼓勵各界盡快轉換以因應量子破密威脅: 8月13日公布了3個新的聯邦資訊處理標準（FIPS），分別是FIPS 203、FIPS 204與FIPS 205，第4個PQC標準將於年底推出

AI 動態

1. 趨勢科技在黑帽大會展示深偽偵測技術 :
   a. 可在視訊會議進行時，自動辨識出Deepfake技術並跳出通知，通知企業使用者目前召開的視訊會議中，有會議成員可能是假的
   b. 一般使用者的Trend Micro Deepfake Inspector，而在企業端產品方面，後續Trend Vision One平臺也將提供此一深偽偵測技術
2. CISA任命首個AI長Lisa Einstein : 任命AI長的國際趨勢到來，美國OMB在今年3月已規範每個聯邦機構
3. CopilotHunter和LOLCopilot安全工具在GitHub開源 : CopilotHunter能夠掃描和列舉Copilot的資源與錯誤配置，而LOLCopilot則可執行模擬攻擊，濫用Copilot功能來收集資訊、洩漏資料甚至是進行釣魚攻擊

漏洞

1. Windows IPv6 RCE漏洞 CVE-2024-38063 (Critical): 無需用戶驗證即可通過IPV6入侵，已有針對該漏洞的攻擊程式出現
2. Apple釋出各平臺安全更新，還針對舊版macOS修補RTKit零日漏洞 : 多個開源專案漏洞，包括：7月初OpenSSH修補了CVE-2024-6387漏洞，現在蘋果也針對macOS平臺修補了這項漏洞，以及去年11月底、今年1月底的libtiff函式庫中的漏洞CVE-2023-6277、CVE-2023-52356，蘋果這次也針對macOS、iOS、iPadOS平臺完成相關修補(CVE-2024-23296漏洞主要影響Apple的即時作業系統RTKit，擁有核心讀寫能力的攻擊者，便可繞過核心記憶體保護取得系統控制權，導致敏感資料洩漏)
3. Office尚無更新版的漏洞可能導致敏感資料外洩，多個版本受影響 : 安全漏洞CVE-2024-38200，可造成敏感資訊洩露給未經授權的攻擊者，同時說明有效版本的Office、M365用戶已獲得防護，但仍需安裝預定在臺灣時間8月14日釋出的安全更新
4. FreeBSD更新發布，修補OpenSSH高風險漏洞 CVE-2024-7589

公司被駭/資安事件

1. 網路攝影機存在高風險漏洞，可能被用來傳播惡意軟體: 由陞泰科技（Avetech Security）製造的網路攝影機存在高風險命令注入漏洞。由於該漏洞尚未修補，且已遭利用攻擊，漏洞編號為CVE-2024-7029（CVSS 3.x分數為8.8），允許攻擊者在無需密碼或身份驗證的情況下，可以管理者身份遠端向攝影機注入並執行指令

程式語言/工具

1. The fastest way to copy data between Postgres tables : 在 PostgreSQL 中，複製Table的7種方法，根據需求和情境選擇合適的方法可以提高效率，其中 pg_bulkload 非常優異
2. 微軟 SBOM Tool Release v2.2.7 · microsoftsbom-tool · GitHub
3. osv-scanner release v1.8.3 :
4. AI Code Editor - Cursor : 內建 AI 支援的程式編輯器，基於 VSCode 開發，所以原始專案如果是使用 VSCode 開發的，可以吃原始設定檔

科技動態

1. Google首度揭露資料中心對臺灣的影響力報告，彰化資料中心PUE達1.12，對臺年貢獻產值破49億美元 : 對台灣直接與間接影響的數據整理
2. I tried the Skip and Arc’teryx exoskeleton that spun out of Google X - Fast Company :
   a. MO/GO 動力外骨骼褲，應該是世界上第一個此類型上市產品
   b. 早鳥價為4,500美元（約 NT14.7萬元)，正式售價為5,000美元，2025Q4出貨
   c. 穿戴外骨骼後，可以感受到明顯的支撐和助力，尤其在長距離行走和上坡行走
   (40%​的助力供腿部力量輔助，讓使用者感覺自己變輕約 14 公斤)
   d. 單次充電可提供3小時的電力，電池可在下坡時進行充電，原理同油電混合車
3. 中國版星鏈來了：將發1.5萬顆衛星 : 「千帆星座」計畫（別稱：G60星鏈計畫），2025年底，實現648顆衛星提供區域網路覆蓋，到2027年提供全球網路覆蓋
   a. 千帆星座首箭解體 300碎片激增到700 恐變太空垃圾雲 : 初次，敗 !