資安動態
- 新的 QR 碼網路釣魚活動(利用 Microsoft Sway) : 攻擊者利用 Microsoft Sway 托管假頁面,通過 QR 碼將用戶重定向到釣魚網站(目的是竊取受害者的Microsoft 365帳號)
- New Eucleak attack lets threat actors clone YubiKey FIDO keys : Yubico旗下FIDO裝置,透過 side-channel 取得 ECDSA 金鑰(create a clone of the FIDO device)
- FreeBSD得到STF近69萬歐元 : 重點在5點改善 1) Zero Trust Builds 2) CI/CD Automation 3) Reduce Technical Debt 4) Security Controls 5) SBOM Improvements
- 中國駭客Earth Lusca打造跨平臺後門KTLVdoor: 以Go語言打造而成的跨平臺後門程式KTLVdoor,此惡意程式駭客經過高度混淆偽裝成各式公用程式,例如:sshd、java、sqlite、bash、edr-agent
程式工具/
- [security] Go 1.23.1 and Go 1.22.7 釋出 : 3 security fixes
a. go/parser : CVE-2024-34155
b. encoding/gob: CVE-2022-30635
c. go/build/constraint: CVE-2024-34158 - microsoft sbom-tool v2.2.8
- 開源專案 Poku : JavaScript 的單元測試工具,號稱性能比 Vitest, Jest, Mocha 更好
- JavaScript 打包工具 Rspack 正式推出 v1.0 : 用 Rust 寫的,速度比 Webpack 快超過十倍 ( 注意: 由字節跳動所開源 !?)
- Elastic與AWS授權爭議落幕,Elasticsearch重新提供開源授權 : Elasticsearch除了SSPL和ELv2雙授權,現增加開源授權AGPL新選項 (授權爭議後轉往AWS的OpenSearch是不是來不及了? )
- Docker-OSX映像檔儲存庫遭蘋果要求移除: 在Docker上安裝macOS測試的Docker-OSX映像檔儲存庫,上周遭到蘋果以侵犯著作權的理由,要求移除
漏洞
- D-Link旗下路由器設備DIR-846W存在4個嚴重的RCE漏洞: 其中3個可在未經身分驗證的情況下利用,9月1日D-Link發布資安公告證實確有此事,但因為這款設備已於2020年終止支援(EOS),他們不會進行修補,呼籲用戶應停止使用。(CVE-2024-41622、CVE-2024-44340、CVE-2024-44341,以及CVE-2024-44342,CVSS風險評分介於8.8至9.8)
- Red Hat Satellite 生命週期管理軟體身份驗證繞過漏洞(Foreman) : CVE-2024-7012 ,CVSS score : 9.8,影響所有活躍的 Red Hat Satellite 部署版本,包括 6.13、6.14 和 6.15
- Apache基金會修補ERP系統OFBiz重大風險漏洞: ERP系統OFBiz漏洞CVE-2024-45195(CVSS 9.8),並指出該漏洞能夠被用來繞過今年Apache基金會修補的3項弱點CVE-2024-32113、CVE-2024-36104、CVE-2024-38856
- Kibana存在重大漏洞,可被用於執行任意程式碼 : Kibana安全性更新8.15.1版,修補2項重大層級的漏洞CVE-2024-37288、CVE-2024-37285
- Microsoft SQL Server 權限提高弱點 : CVE-2024-37980,CVSS: 8.8
公司被害/資安事件
- 勞發署出包!484部硬碟資料「一夕消失」 疑工程師輸錯代碼 : 資產管理系統下達指令中的 *.exe誤鍵為 * .exe(星號 * 後面多一個空白字元)
- 台灣三洋電機遭駭 :
- 駭客入侵農業部監視器 直播國軍部隊動態
- 世鎧 遭受加密攻擊
AI 動態
- Google: Project Green Light(綠燈計畫): 這篇文章(How Google uses AI to reduce stop-and-go traffic on your route — and fight fuel emissions) 說明了如何利用AI來優化交通號誌的計劃
(a) 目的 : 減少停停走走的交通 + 降低燃油排放(預計減少10%)
(b) 利用 Google Maps 數據 + AI 模型分析:AI 模型會測量交通流量,包括啟動和停止的模式、平均等待時間以及相鄰十字路口之間
(c) 現有數據,無需投資新的軟硬體
(d) 顯著減少停車次數: 次數減少高達 30% - 數位部擬於12月提出公務機關AI應用指引,要教機關評估AI工具、專案管理及做好風險控管
- Lawsnotes QA : 法律界的Google,過去 AI 的幻覺問題,在法律層面是不可接受的,Lawsnote 利用搜尋檢索的技術整合LLM 變成Perplexity, FeloSearch 的法律版
