2024.09 Note #11

資安動態

1. RFC 9608-No Revocation Available for X.509 Public Key Certificates :
   - 透過新增的 noRevAvail 擴充欄位，可以得知輕易確定 CA 不會發布該憑證的撤銷資訊
   - 需更新 RFC 5280 中的 Certification Path Validation 如果存在 noRevAvail 時需跳過 revocation checking，且 OCSP 欄位與 CRL 欄位不得存在，違反則視為無效的 X.509 憑證
   - 適用於 (1) Short-lived certificates: 有效期通常比檢測/報告/分發撤銷信息所需的時間更短 (2) long-lived certificates: 從不過期從不撤銷，例如 設備 idevid憑證
2. Microsoft ends development of Windows Server Update Services (WSUS): 微軟不再投資於新功能，也不再接受 WSUS 的新功能請求，同時，微軟也宣佈將停止 Windows & Windows Server 的 NTLM 驗證 (Windows Server 2025中依然可使用WSUS，但建議使用者遷移到Windows Autopatch、Microsoft Intune或Azure Update Manager 等雲端工具)
3. Google Password Manager跨平臺同步Passkey : 可透過 Android 與 Chrome 瀏覽器中的 Google Password Manager 存放通行密鑰（Passkey），並將 Passkey 同步到不同的平臺上使用，包括 Windows、macOS 與 Linux 等，同時也新增了 Google Password Manager PIN 來保護通行密鑰
4. Chrome 瀏覽器採用 NIST 認可的 ML-KEM 量子加密技術: 緩解「先儲存再破解」的威脅，更新將在 Chrome 131 版本（目前版本是 128）中實施，預計在 2024 年 11 月 6 日推出
5. Citrine Sleet上傳惡意Python套件，意圖散布RAT木馬PondRAT: 於PyPI上傳惡意Python套件real-ids、coloredtxt、beautifultext、minisound，一旦開發人員上當，在開發環境部署，有可能被植入惡意軟體PondRAT
6. 美國商務部提議禁止中國與俄羅斯的連網汽車硬體及軟體 : 連網汽車的好處，提高行車安全到司機導航，新威脅是 : 控制車輛的移動，蒐集敏感的司機與乘客資料，蒐集自駕車配備的攝影機及感應器資料，並記錄詳細的美國基礎設施資訊

程式工具

1. Why did OpenAI move from Next.js to Remix ? ChatGPT的網站本來是用Next.js撰寫，現在轉移到Remix的技術，原因很多如: Remix 更加注重CSR、強大的路由系統、性能有顯著提升...
2. microsoft sbom-tool v2.2.9
3. google osv-scanner v1.8.5

公司被駭/資安事件

1. 親俄駭客對臺網站發動DDoS攻擊，4天之內已有45起事故 : 中租控股、兆豐金控、彰化銀行發布重大訊息，表示他們的網站遭遇DDoS攻擊
2. 130萬臺Android電視機上盒遭植入後門程式
3. 殭屍網路Quad7鎖定兆勤VPN設備、Ruckus無線路由器而來

漏洞

1. Adobe修補Acrobat可造成任意程式碼執行的重大漏洞 : CVE-2024-41869、CVE-2024-45112，Tenable 公告 CVSSv3 為 9.8
2. GitLab修補重大層級的管道執行漏洞 : 發布社群版（CE）及企業版（EE）17.3.2、17.2.5、17.1.7版更新，總共修補17個漏洞，其中最值得留意的是被列為重大層級的CVE-2024-6678，此漏洞影響8.14以後的版本，允許攻擊者在特定的環境下，以任意使用者觸發自動化工作Pipeline機制，CVSS風險評為9.9分
3. Gitlab SAML 認證繞過漏洞 : GitLab Critical Patch Release: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
4. Docker修補電腦版應用程式RCE漏洞 : 高風險層級的漏洞CVE-2024-8695、CVE-2024-8696，攻擊者可濫用惡意延伸套件，而有機會遠端執行任意程式碼（RCE），4.0版CVSS風險評分為9.0、8.9
5. Grafana修補軟體開發套件資訊洩露漏洞:）grafana-plugin-sdk-go，存在重大層級的資訊洩露漏洞CVE-2024-8986，0.249.0版及之前版本都受到影響，4.0版CVSS風險評分達到9.1，開發團隊目前已發布0.250.0版進行修補
6. Spring Path traversal vulnerability in functional web frameworks : CVE-2024-38816，特定條件下可目錄遍歷漏洞
7. D-Link修補Wi-Fi路由器高風險漏洞 : 5項漏洞 CVE-2024-45694、CVE-2024-45695、CVE-2024-45696、CVE-2024-45697、CVE-2024-45698，CVSS風險評分介於8.8至9.8，他們發布新版韌體予以修補

AI 動態

1. PDF2Audio : PDF2Audio 麻省理工學院 (MIT) 的 LAMM 開發的一款開源工具，專門將 PDF 文件轉換成音訊檔案(多語言支援)
2. The Intelligence Age: OpenAI 執行長奧特曼罕見發表長文，「超級AI有可能在未來幾千天內問世」，重點在如何降低算力成本與建立AI基礎設施
3. AI 激勵市場，將核電推向能源清單 : GPU轉向核能，如果 HPC 和 AI 的增長繼續下去，必須將核電選項納入這個等式中，14 家主要的全球銀行和金融機構表示支援到 2050 年將核能增加兩倍 (微軟亦擁抱核能，微軟不是唯一一間)

科技動態

1. These Hi-Tech Bifocals Improved My Eyesight but Made Me Look Like a Huge Dork: 這間日本新創推出 ViXion01自動對焦眼鏡，可根據物體距離自動調整鏡片，確保視野清晰，電池壽命約10小時