2025.02 Note #20

資安動態

1. The Slow Death of OCSP：在講 OCSP 連瀏覽器逐漸捨棄會漸漸消失
2. Announcing Six Day and IP Address Certificate Options in 2025 - Let's Encrypt: Our six-day certificates will not include OCSP or CRL URLs. 因為有效期短，所以直接拿掉 revoke 。
3. Gov. Moore Launches $1 Billion "Capital of Quantum" Initiative Anchored by UMD 馬里蘭州長宣布10億鎂量子之都計畫
4. 150家企業組織遭到鎖定，駭客藉由AD聯合身分驗證服務繞過多因素驗證，從而挾持帳號
5. Stargate Project 是一家新公司，計劃在未來四年內投資 5,000 億美元，在美國為 OpenAI 建造新的人工智慧基礎設施。我們將立即開始部署 1000 億美元。Stargate 的初始股權資助者是軟銀、OpenAI、甲骨文和 MGX。軟銀和 OpenAI 是 Stargate 的主要合作夥伴，軟銀承擔財務責任，OpenAI 承擔營運責任。孫正義將擔任董事長。
6. Synology ActiveProtect : 群暉有兩大備份加值軟體：Hyper Backup、Active Backup，備份一體機ActiveProtect，提供備份與還原、儲存防寫隔離等資料保護機制，可涵蓋個人電腦、伺服器（Windows、macOS、Linux）、虛擬機器（VMware、Hyper-V）、檔案伺服器、資料庫（SQL Server、Oracle DB）、Microsoft 365雲端服務。
7. Payment Passkey成線上安全支付新焦點，兩大發卡組織齊推動 : 使用信用卡或簽帳卡的民眾，能以更快速且更安全的方式，透過臉部辨識或指紋辨識就能直接完成線上支付(避免持卡人過度依賴OTP) 通行密鑰（Payment Passkey）
8. Office365大漲價 : 因為加了AI 功能，SaaS軟體這兩年都不約而同漲價

工具/程式

1. Microsoft sbom-tool Release v3.1.0
2. Go 1.24 Release: 產生更小的二進位檔
   GC 收集效率提升：降低延遲並減少停頓時間，對需大量記憶體分配的應用尤其有幫助
   輸出格式優化：go test 輸出（包括 JSON 格式）有助於自動化工具及持續整合流程
   新函數與優化： net/http、crypto、errors 等）引入新函數或進行優化，增強安全性與便利性
3. OSV-SCALIBR: A library for Software Composition Analysis
4. 1. 開源軟體漏洞檢測和安全分析
   2. 執行安裝套件、程式碼及容器映像檔的掃描
   3. SBOM 生成功能，並支援SPDX和CycloneDX
   4. 未來將其功能整合到OSV-Scanner中，預計於數月內推出 (可能是 scannerV2)
4. Tailwind CSS 4.0 Release : 效能提升 5x
5. Bun 1.2大更新強化Node.js相容性，原生支援S3與PostgreSQL

公司受駭

1. 馬偕醫院傳出遭CrazyHunter勒索軟體持續攻擊，衛福部與資安署已成立快速應變小組協助因應 : 500台電腦瞬間當機　掛號系統遭到癱瘓 勒索軟體名稱為CrazyHunter 目前已知攻擊路徑為AD主機並派送惡意程式，惡意程式名稱如下 bb.exe crazyhunter.exe , crazyhunter.sys , zam64.sys , go3.exe , go.exe

漏洞

1. WinZip 7Z 檔案解析越界寫入 RCE : CVE-2025-1240 (CVSS 7.8) 允許遠端攻擊者在安裝了WinZip的受影響系統上執行任意程式碼。Fixed in WinZip 29.0 (2/11/2025)
2. 微軟發布1月例行更新，修補8項零時差漏洞 ：總共修補了159個漏洞，有40個涉及權限提升、14個涉及安全功能繞過、58個可被用於遠端執行任意程式碼（RCE）、24個資訊洩漏漏洞、20個阻斷服務（DoS）漏洞，以及5個能用於欺騙的漏洞。從漏洞的危險程度來看，有11個被列為重大層級，其餘148個評為高風險層級
   權限提升: CVE-2025-21333、CVE-2025-21334、CVE-2025-21335(CVSS 7.8)
   Access RCE: 漏洞CVE-2025-21186、CVE-2025-21366、CVE-2025-21395
   - Microsoft 帳戶權限提高弱點 CVE-2025-21396
   - Windows應用程式套件安裝工具權限提升漏洞CVE-2025-21275
   - 嚴重 UEFI 漏洞歷經七個月終於修復( CVE-2024-7344)
3. Visual Studio Code 權限提高弱點 : CVE-2025-24039 , CVSS 7.3
4. Windows 輕量型目錄存取通訊協定 (LDAP) RCE : CVE-2025-21376，CVSS 8.1
5. Azure AI臉部辨識服務與微軟帳號系統修補重大層級漏洞 ：CVE-2025-21415，通過身分驗證的攻擊者可藉由欺騙Azure AI臉部辨識服務，從而達到繞過身分驗證的目的(CVSS 9.9)
6. Oracle WebLogic Server
7. 1. https://nvd.nist.gov/vuln/detail/CVE-2025-21549 (CVSS, 7.5)
   2. https://nvd.nist.gov/vuln/detail/CVE-2025-21535 (CVSS, 9.8)
7. Subaru車聯網爆重大漏洞，攻擊者可遠端控制車輛、追蹤位置: Subaru車聯網系統STARLINK（非SpaceX星鏈服務Starlink）管理面板存在一項重大安全漏洞，此漏洞允許攻擊者利用車主個人基本資訊對車輛進行遠端控制，包括啟動引擎、解鎖車門，以及查詢精確到5公尺內的車輛歷史位置記錄

AI 動態

1. 歐盟EU 發布《人工智慧法案》(Brussels, 4.2.2025. 884 final, AI Act) 列出禁止的各類AI應用行為，違規者將面臨鉅額罰
2. 1. 有害操縱、欺騙和剝削
   2. 社會評分評估或分類
   3. 個人犯罪風險評估和預測
   4. 無針對性的面部圖像抓取 : Facial recognition databasese (from a digital image or video frame) 避免人們失去匿名性
   5. 情感識別: 例如員工情緒或教育機構使用相關系統監測學生情緒
   6. 生物特徵分類
   7. 實時遠程生物識別
2. EU 發布了AI系統定義(Brussels, 6.2.2025,924 final AI Act) : (有別於去年微軟的定義)
3. 1. Machine Based System(機器為基礎的系統)
   2. Autonomy(自治)
   3. Adaptiveness(具可適應性)
   4. AI system objective : Implicit / Explicit Objective
   5. Inferencing(具備推理能力, 有4類推理能力)
   6. Outputs that can influence physical or virtual environments(產生可影響實體或虛擬環境的輸出)
   7. Interaction with Environment(與環境互動)
3. 吳恩達全新物體偵測技術：Agentic Object Detection 只需輸入文字提示、圖片，就能深度推理，精準偵測指定目標。傳統方法缺點：需要在圖片上畫很多框來標記資料，再用這些標記訓練神經網路，流程費時繁瑣。不需要訓練標記：只需要用文字描述你想找的東西，例如：「未成熟的草莓」就能深度推理，精準偵測指定目標。
4. OpenAI 推出 Operator : 模擬人類操作（點擊、打字…）能夠自動操作你的瀏覽器，幫你填表單、買東西、訂機票..
5. Open AI 推出 Deep Research : 替你主動「做研究」的 AI 助手，研究能力直逼專業分析師 (Plus = 20 美金/月、Pro = 200 美金/月)，產生報告大約需要 5～30 分鐘，而且目前 Pro 用戶每月最多能執行 100 次
   (靠北的是Hugging Face 團隊在 24 小時內就打造出開源版本，open-Deep-Research)
6. Perplexity Assistant :可以幫你預訂餐廳、找歌、叫車、撰寫郵件、設定提醒等
7. DeepSeek
8. 1. 公部門禁用DeepSeek 數發部：屬「危害國家資安產品」台灣（政府部門）、義大利（全境）、美國（部分政府部門）韓國政府之後，澳洲也宣布，基於國家安全風險的理由，澳洲政府部門禁用DeepSeek的App/Web
   2. Hugging Face 的 Open R1 專案完全開放復刻版 DeepSeek-R1，補齊 DeepSeek 所有未公開的技術細節(OpenR1-Math-220k)
8. 法國AI獨角獸Mistral 正式推出「Le Chat」，搭載全球最快推理引擎
9. 馬斯克的 DOGE 團隊用 AI 查 USAID : 找出了不少異常資金流向，這個團隊19 到 24 歲，許多人還沒大學畢業靠 AI 做到傳統審計師、稽核師需要幾個月才能完成的工作。(看起來AI影響查帳員、稽核師會比工程師來得更快)
10. Apple 把「檯燈」變成 AI 機器人：設計多種細緻動作，來表達情感，燈頭會隨語音內容自然轉動，像是在談論天氣時「看向窗外」透過機械臂彎曲、燈頭方向及燈光強弱來表達其情緒與意圖如凝視、忽視，或坐下、點頭、扭屁股等動作，燈光照亮特定物體或空間可引導使用者目光 (家用伴侶機器人的開發框架ELEGNT)