資安動態RFC 9608-No Revocation Available for X.509 Public Key Certificates : - 透過新增的 noRevAvail 擴充欄位,可以得知輕易確定 CA 不會發布該憑證的撤銷資訊- 需更新 RFC 5280 中的 Certification Path Validation 如果存在 noRevAvail 時需跳過 revocation checking,且 OCSP 欄位與 CRL 欄位不得存在,違反則視為無效的 X.509 憑證- 適用於 (1) Short-lived certificates: 有效期通常比檢測/報告/分發撤銷信息所需的時間更短 (2) long-lived certificates: 從不過期從不撤銷,例如 設備 idevid憑證Microsoft ends development of Windows Server Update Services (WSUS): 微軟不再投資於新功能,也不再接受 WSUS 的新功能請求,同時,微軟也宣佈將停止 Windows & Windows Server 的 NTLM 驗證 (Windows Server 2025中依然可使用WSUS,但建議使用者遷移到Windows Autopatch、Microsoft Intune或Azure Update Manager 等雲端工具)Google Password Manager跨平臺同步Passkey : 可透過 Android 與 Chrome 瀏覽器中的 Google Password Manager 存放通行密鑰(Passkey),並將 Passkey 同步到不同的平臺上使用,包括 Windows、macOS 與 Linux 等,同時也新增了 Google Password Manager PIN 來保護通行密鑰Chrome 瀏覽器採用 NIST 認可的 ML-KEM 量子加密技術: 緩解「先儲存再破解」的威脅,更新將在 Chrome 131 版本(目前版本是 128)中實施,預計在 2024 年 11 月 6 日推出Citrine Sleet上傳惡意Python套件,意圖散布RAT木馬PondRAT: 於PyPI上傳惡意Python套件real-ids、coloredtxt、beautifultext、minisound,一旦開發人員上當,在開發環境部署,有可能被植入惡意軟體PondRAT美國商務部提議禁止中國與俄羅斯的連網汽車硬體及軟體 : 連網汽車的好處,提高行車安全到司機導航,新威脅是 : 控制車輛的移動,蒐集敏感的司機與乘客資料,蒐集自駕車配備的攝影機及感應器資料,並記錄詳細的美國基礎設施資訊程式工具Why did OpenAI move from Next.js to Remix ? ChatGPT的網站本來是用Next.js撰寫,現在轉移到Remix的技術,原因很多如: Remix 更加注重CSR、強大的路由系統、性能有顯著提升...microsoft sbom-tool v2.2.9google osv-scanner v1.8.5公司被駭/資安事件親俄駭客對臺網站發動DDoS攻擊,4天之內已有45起事故 : 中租控股、兆豐金控、彰化銀行發布重大訊息,表示他們的網站遭遇DDoS攻擊130萬臺Android電視機上盒遭植入後門程式殭屍網路Quad7鎖定兆勤VPN設備、Ruckus無線路由器而來漏洞Adobe修補Acrobat可造成任意程式碼執行的重大漏洞 : CVE-2024-41869、CVE-2024-45112,Tenable 公告 CVSSv3 為 9.8GitLab修補重大層級的管道執行漏洞 : 發布社群版(CE)及企業版(EE)17.3.2、17.2.5、17.1.7版更新,總共修補17個漏洞,其中最值得留意的是被列為重大層級的CVE-2024-6678,此漏洞影響8.14以後的版本,允許攻擊者在特定的環境下,以任意使用者觸發自動化工作Pipeline機制,CVSS風險評為9.9分Gitlab SAML 認證繞過漏洞 : GitLab Critical Patch Release: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10Docker修補電腦版應用程式RCE漏洞 : 高風險層級的漏洞CVE-2024-8695、CVE-2024-8696,攻擊者可濫用惡意延伸套件,而有機會遠端執行任意程式碼(RCE),4.0版CVSS風險評分為9.0、8.9Grafana修補軟體開發套件資訊洩露漏洞:)grafana-plugin-sdk-go,存在重大層級的資訊洩露漏洞CVE-2024-8986,0.249.0版及之前版本都受到影響,4.0版CVSS風險評分達到9.1,開發團隊目前已發布0.250.0版進行修補Spring Path traversal vulnerability in functional web frameworks : CVE-2024-38816,特定條件下可目錄遍歷漏洞D-Link修補Wi-Fi路由器高風險漏洞 : 5項漏洞 CVE-2024-45694、CVE-2024-45695、CVE-2024-45696、CVE-2024-45697、CVE-2024-45698,CVSS風險評分介於8.8至9.8,他們發布新版韌體予以修補AI 動態PDF2Audio : PDF2Audio 麻省理工學院 (MIT) 的 LAMM 開發的一款開源工具,專門將 PDF 文件轉換成音訊檔案(多語言支援)The Intelligence Age: OpenAI 執行長奧特曼罕見發表長文,「超級AI有可能在未來幾千天內問世」,重點在如何降低算力成本與建立AI基礎設施AI 激勵市場,將核電推向能源清單 : GPU轉向核能,如果 HPC 和 AI 的增長繼續下去,必須將核電選項納入這個等式中,14 家主要的全球銀行和金融機構表示支援到 2050 年將核能增加兩倍 (微軟亦擁抱核能,微軟不是唯一一間)科技動態These Hi-Tech Bifocals Improved My Eyesight but Made Me Look Like a Huge Dork: 這間日本新創推出 ViXion01自動對焦眼鏡,可根據物體距離自動調整鏡片,確保視野清晰,電池壽命約10小時