2024.12 Note #16

資安動態

1. 號召聯名要求 Oracle 放棄 JavaScript 的註冊商標: 數個重量級的 JavaScript 生態系專案開發者，包括 Node.js 與 Deno 專案的創立者 Ryan Dahl，JavaScript 的創立者 Brendan Eich，已經公開號召聯名要求 Oracle 放棄 JavaScript 的註冊商標，並且向美國專利商標局(US Patent and Trademark Office)提出廢棄該商標的正式申請。Oracle 手上的 JavaScript 商標，是因為 2009 收購 Sun Microsystems 取得的，自此之後，Oracle 並沒有在 JavaScript 上推出產品，也無意經營生態系，但其法務部門會因其他公司使用到 JavaScript 相關字眼，而寄發商標侵權的警告信(cease-and-desist letters)要求付費和解。
2. 關閉筆電網路攝影機 LED 指示燈， 駭客可暗中監視你: 秘密關閉筆電的網路Webcam LED 燈，同時還能遠端操控Webcam
3. Microsoft 年度大會 Ignite 2024 :
   - Copilot Actions：自動執行日常任務
   - 即時翻譯：Teams 中提供會議語音即時翻譯服務，支持最多 9 種語言
   - 員工自助服務 AI Agent：Business Chat 能快速回答公司常見問題，如員工福利、申請電腦
4. 供應鏈軟體業者Blue Yonder遭勒索軟體攻擊，波及星巴克: 星巴克（Starbucks）以及英國二大連鎖超市，員工出勤與生鮮食品需求預測及補貨作業，被迫改成手動處理
5. Word檔案修復功能遭到濫用！繞過電腦資安防護機制，假借公司人資與員工福利的名義從事網路釣魚

漏洞

1. OpenSSL Out of bound memory writes :，AI 自動生成模糊測試目標，成功在開源專案中發現 26 個新的漏洞，其中包括一個存在於 OpenSSL 函式庫長達 20 年的重大漏洞 CVE-2024-9143
2. GitLab Patch Release: 17.6.1, 17.5.3, 17.4.5 :

• • CVE-2024-8114 Privilege Escalation via LFS Tokens (8.2 HIGH)
  • CVE-2024-8177
  • CVE-2024-8237
  • CVE-2024-11668
  • CVE-2024-11669
  • CVE-2024-11828

1. 威聯通(QNAP) 資安公告: 路由器作業系統QuRouter、NAS協作應用程式Notes Station 3存在重大層級漏洞 CVE-2024-48860(9.5)，CVE-2024-38643、CVE-2024-38645 (CVSS 9.4)，CVE-2024-38643(9.3)
2. Critical 7-Zip Vulnerability Let Attackers Execute Arbitrary Code：7-Zip 漏洞（CVE-2024-11477, CVSS 7.8），在用戶開啟時執行任意程式碼，獲得與用戶相同的權限，並可能完全控制用戶系統 建議用戶手動下載並安裝最新版本
3. PHP修補重大層級的記憶體越界寫入漏洞: 發布8.3.14、8.2.26、8.1.31版，主要修補一項重大層級的漏洞CVE-2024-8932，這項弱點可被用於越界寫入（OBW），CVSS(9.8)
4. 中華電信提供寬頻網路用戶的D-Link數據機被發現漏洞: 中華電信提供許多個人及政府機關的 D-Link數據機DSL-6740C，存在8個漏洞，臺灣現在還有多達57,945臺仍在運作，還有很多人不知道要請中華電信更換，特權API不正確使用漏洞CVE-2024-1108、路徑穿越漏洞CVE-2024-11067，以及作業系統命令注入漏洞CVE-2024-11062、CVE-2024-11063、CVE-2024-11064、CVE-2024-11065、CVE-2024-11066，CVSS風險評分介於7.2至9.8

程式/工具

1. Tailwind CSS v4.0 Beta
2. PostgreSQL 17.2, 16.6, 15.10, 14.15, 13.18, and 12.22 Released 2024-11-21

AI 動態

1. 全球首創：英國資安新創推出自動偵測 AI deepfake 的瀏覽器: Surf Security 所推出的瀏覽器 Beta 版本，號稱能夠以高達 98% 的準確率辨識出使用者在線上互動的對象究竟是真人，還是 AI 所創造出的虛擬人物，而且這項功能除了可以單獨使用之外，也可以作為外掛安裝在其他瀏覽器上
2. AI 阿嬤反擊詐騙！24 小時接聽電話，用「瞎聊」戰勝詐騙集團: AI黛西可以 24 小時接聽詐騙電話，用「瞎聊」來浪費詐騙集團的時間和資源。反詐騙團隊特意將黛西的電話號碼加入到詐騙集團常用的聯絡人名單中，目前，黛西已經浪費了詐騙集團數百個小時
3. OWASP Top 10 for LLM & Generative AI Security: OWASP 十大 LLM 應用程式安全風險 (2025) 中列出的十項風險
4. 人形機器人 Optimus 的手臂系統升級，能靈活地接球
5. AlphaQubit tackles one of quantum computing’s biggest challenges : Google 最近在Nature發表研究推出 AlphaQubit，大幅提升「量子電腦」檢測錯誤和修正的能力

科技動態

1. Casio’s first smart ring : 卡西歐要推出的這一款像手錶的戒指，我覺得老花會看不清楚
2. 澳洲開全球先例，禁止16歲以下的青少年使用社交媒體：預計12個月後生效，未能遵守規定的平臺，將面臨高達4,950萬澳元的罰款。 適用於TikTok,Facebook, Snapchat, Reddit, Instagram 及 X 等社交平臺