2024.12 Note #17

資安動態

1. Ending OCSP Support in 2025 - Let's Encrypt 日落時間表
2. 1. 1/30, 2025 : OCSP Must-Staple requests will fail, unless the requesting account has previously issued a certificate containing the OCSP Must Staple extension
   2. 5/7, 2025
   3. 1. Prior to this date we will have added CRL URLs to certificates
      2. On this date we will drop OCSP URLs from certificates
      3. On this date all requests including the OCSP Must Staple extension will fail
   3. 8/6, 2025 we will turn off our OCSP responders
2. Lets Encrypt short-lived certificates(6 day certificates) :
3. 1. short-lived certificates. Specifically, certificates with a lifetime of six days. This is a big upgrade for the security of the TLS ecosystem because it minimizes exposure time during a key compromise event
   2. ACME 跟相關自動化 的Trigger ? 對照 Apple 與 Google 的short-lived certificates
3. Solana Web3.js遭駭，從開發人員電腦竊走18萬美元加密貨幣
4. 資安院 - 113年網路攻防演練暨資安檢測重要發現事項
5. 資安院 - 政府機關資安威脅與防護重點

漏洞

1. 微軟 2024.12 月的 Patch: 修補了 71 項資安漏洞，其中16 個重大等級的漏洞，全都屬於遠端程式碼執行(RCE)、Microsoft Update Catalog 提權 CVE-2024-49147 (9.3)
2. Apache Struts 遠端執行程式碼漏洞 : FileUploadInterceptor ，CVE-2024-53677，Users are recommended to upgrade to version 6.4.0 and migrate to the new file upload mechanism
3. Apache Tomcat default servlet JSP編譯過程中存在條件競爭漏洞: CVE-2024-50379(high)，RCE on case insensitive file systems when the default servlet is enabled for write.(更新)
4. GitLab Patch Release: 17.6.2, 17.5.4, 17.4.6：發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況、跨網站指令碼及敏感資料洩露CVE-2024-8116、CVE-2024-8179、CVE-2024-8233(high)、CVE-2024-11274(high)、CVE-2024-8647、CVE-2024-8650CVE-2024-9367 CVE-2024-9387 CVE-2024-9633、CVE-2024-10043、CVE-2024-12292、CVE-2024-12570
5. 微軟MFA多因素驗證機制存在漏洞AuthQuake，駭客可能乘機發動暴力破解攻擊:
6. 1. 驗證機制缺乏對於驗證頻率的管制，微軟甚至在提供及驗證動態密碼的過程，保留額外的時間，因此攻擊者若是藉由快速產生新的連線階段（Session），並嘗試所有可能的排列組合（100萬組），就有機會突破上述限制，成功完成動態密碼驗證
   2. 動態密碼存在時效限制，是以產生的時間為基礎產生，而且，App產生的密碼每30秒就會輪替。但研究人員指出，由於微軟考慮到驗證系統與使用者存取時間的差異及延遲，實際上這些驗證碼的有效時間超過30秒，經過他們的實驗，最長可以達到3分鐘，使得攻擊者有機會透過暴力破解的方法通過驗證
6. 微軟 NTLM 未有CVE編號，也尚未有修補釋

程式/工具

1. mattermost-plugin-boards: v9.0.2
2. 1. ba6b2a5 MM-61822 Fix the boards LHS and channel RHS boards channel memeber permission issue. #37
2. 多種檔案格式轉成 Markdown : 微軟開發的工具，支援以下格式

• • PDF、.pptx、Word、Excel、Images (EXIF metadata, and OCR)、csv, json, xml,
  • Audio (EXIF metadata, and speech transcription)
  • HTML (special handling of Wikipedia, etc.)

AI 動態

1. ChatGPT 寫作工具 Canvas：開始免費使用，內建在 chatGPT 中可按選項
2. 1. 1. 即時文件編輯
      2. 可調整閱讀難度等級(幼稚園到研究所)、長度，而產生對應的文章
      3. 有版控
      4. 可執行 Python: 內建 WebAssembly 的 Python 模擬器，可看到輸出文字或圖形結果
2. ChatGPT Search 全面開放，免費用戶現在也能用了: 直接 PK Perplexity、Felo Search、 Google，既然是免費又有瀏覽器外掛，能不能活就看商業模式怎麼跑了
3. KKCompany 發表區塊鏈加持，全新「安全保護、授權」AI 分身平台 TheKeeper: (這個產品跟Murf AI 競爭，有機會贏喔!)
4. 1.  數位分身管理平台，目前具有 AI 語音功能，可以讓使用者上傳聲音檔後用 AI 模仿使用者音色，並可以模擬講出多國語言
   2. 完整紀錄每一次的使用軌跡
   3. 透過區塊鏈可以清晰看到授權過後資料與金流如何流動，同時還會在 AI 聲音裡加入人耳聽不到的「數位浮水印」，確保這些 AI 內容不會被濫用
   4. 商業模式: 供 API 讓廣告廠商在合理範圍快速使用

科技動態

1. Meet Willow, our state-of-the-art quantum chip - Google Quantum AI :
2. 1. 1. Willow 晶片擁有 105 個量子位元(qubits)
      2. 增加量子位元（qubits）數量的同時，指數級降低錯誤率，解決了 30 年的重大難題
         論文Quantum error correction below the surface code threshold -Nature
2. SpaceX 再創里程碑！星鏈手機網路覆蓋全球無死角：不需要特殊的手機，甚至不需要特定的應用程式，就能在世界任何地方使用
3. 魏哲家全國科學技術會議幽默引言 ：未來在多功能的機器人，不是汽車