2026/04 Notes #49

資安動態

1. CNN：中國超級電腦中心遭駭 機密、飛彈設計圖等大規模資料疑外洩
2. 資安險成趨勢！去年保費上看5.12億元、半導體投保占3成最大宗
   已有16家產險公司投入資安保險市場。承保被保險人因第三人不法入侵電腦系統，所致資金或其他財產的損失；(2)資料保護責任保險，保障因個資外洩所生對第三人依法應負之賠償責任；及(3)資訊安全綜合保險，保障範圍包括被保險人受網路攻擊、電腦勒索或管理錯誤行為等所致財產損失，以及對第三人依法應負之賠償責任等。選擇適合之資安保險商品，倘企業欲保障營運中斷損失、網路勒索損失及對第三人依法應負之賠償責任等，可選擇投保資訊安全綜合保險，以落實風險轉嫁
3. Cloudflare targets 2029 for full post-quantum security
   post-quantum security 的計畫也提前到 2029 年
   - HPE 宣布為ProLiant Compute Gen12伺服器導入後量子密碼（PQC）技術 (FIPS 140-3 Level 3)，iLO7的PQC功能預計2026年夏季正式推出少數已提出具體PQC導入時程的伺服器產品。
4. Identity verification on Claude
   Claude 推出身份驗證機制：要求政府證件與即時自拍(A valid government-issued photo ID: the physical document)
5. 4/16 資安署發布中小企業基本資安防護指引 三大面向16項檢核協助產業防駭
   建議中小企業落實「帳號管理」、「設備和資料管理」與「資安意識培訓」資安三大面向，附帶了「中小企業基本資安防護自檢表」，列出了16項基礎檢核點，企業主只需勾選「是」或「否」，就能立刻知道自家的防禦漏洞在哪裡
6. 數位發展部推出《公部門開源軟體應用參考手冊》
   - 下載
7. 日本限制地方政府IT採購須認證　擬2027排除中國製設備

規範 RFC 指引

1. Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly
   Google : 負責任地揭露加密貨幣量子漏洞
   (1) Google Quantum AI Team 的論文，作者：Hartmut Neven(Google 量子計算計畫創辦人)、Dan Boneh(史丹佛密碼學權威)，Justin Drake(以太坊基金會核心研究員)
   (2) 區塊鏈（比特幣、以太坊）高度依賴 橢圓曲線 (ECDSA)
   (3) 論文研究成果不洩漏具體的攻擊方法前提下：計算出只需要不到 50 萬個物理量子位元，就能完成以往估計要 900 萬個量子位元才能做到的複雜運算，資源消耗縮減將近 20 倍。可使用 Shor 演算法，在極短時間內從公鑰推導出私鑰。
   (4) PQC對區塊鏈來說遷移困難 : 簽章通常比 ECDSA 大得多，這會導致區塊鏈膨脹，降低 TPS。

工具

1. OpenSSL 4.0.0 4 月 14
   - Support for Encrypted Client Hello (ECH, RFC 9849)
   - 砍掉了 SSLv3 與 SSLv2
   - 效能基準測試（Benchmark）接近 V1，對於 v3 極慢的幾個問題有改善 ? 等待其他單位做Benchmark
2. Nginx 1.30 正式實作了 ECH（RFC 8998）
   adds HTTP/2 to backend and Encrypted Client Hello (ECH), sticky sessions support for upstreams, and the default proxy HTTP version being set to HTTP/1.1 with Keep-Alive enabled.
   Nginx 終於支援直接用 HTTP/2 跟後端（Upstream）溝通吞吐量與延遲表現會有顯著提升
3. Unconventional PostgreSQL Optimizations-Creative ideas for speeding up queries in PostgreSQL

故事線

1. SpaceX 敲定有權以600億美元收購 AI 新創 Cursor (馬不懼怕中國模型?)
   SpaceX 表示，已與AI程式設計新創公司Cursor達成協議，將在今年稍後以600億美元收購Cursor，或為雙方的合作支付100億美元。SpaceX正努力追趕競爭同業在AI寫程式領域的步調
2. 義大利資安業者Exein艾芯軟體 正式在台設立辦公室 攜手台灣企業推動IoT資安新標準
   - 近50%的營收來自亞太
   - 即時的威脅偵測與自動化漏洞通報機制 : 整合聯發科技（MediaTek）Genio平台
   - Exein Runtime 整合至信驊科技遠端伺服器管理晶片
3. Stanford HAI 發布 2026 AI Index 年度報告 :
   22-25 歲軟體工程師就業率自 2024 年暴跌近 20%，資深工程師逆勢成長
   AI 安全事件從 233 件增到 362 件．．．．
4. AI效率轉型代價！Meta將在5/20發動首波裁員 規模上看8000人
   5月的首輪裁員預計將影響全球約10%的員工。Meta最終的裁員比例可能達到全球員工總數的20%或更多

工具

1. Changes to GitHub Copilot plans for individuals (大幅限縮)
   (1) 暫停以下方案的新用戶註冊 Copilot Pro, Copilot Pro+ , Copilot Student
   New sign-ups for GitHub Copilot Pro, Pro+, and Student plans are paused
   (2) Pro 方案：不再提供 Opus 系列模型（如 Claude Opus）
   Opus models are no longer available in Pro plans
   (3) Pro+ 方案：保留 Opus 4.7 的使用權，但較舊的 Opus 4.5 與 4.6 版本也將被移除
   隱私變更：從 2026 年 4 月 24 日起，Free、Pro 和 Pro+ 用戶的程式碼片段預設將用於模型訓練（除非你主動在設定中關閉 Opt-out）
2. NetRise平台增AI模型識別功能 提升SBOM透明度
   資安解決方案供應商 NetRise 能夠偵測韌體與軟體封裝內的AI構成要素，並將這些識別出的AI內容，作為SBOM的一部分呈現。該平台可辨識特定的AI元件、列出相關供應商，例如 OpenAI、Anthropic、谷歌（Google）及 Hugging Face，並提供模型層級的上下文資訊，包含其架構與參數數量
3. Perplexity支援串接Plaid！變身「個人財務中心」，瞄準下一代AI原生財務服務Perplexity 現在可以直接連你的銀行、信用卡、貸款帳戶了，連結金融數據平台 Plaid，用講的就能問自己的錢花去哪、還欠多少，不用再一個一個 app 切來切去。 Plaid 接了超過 12,000 家金融機構，你的消費明細、貸款餘額、整體淨值全部拉進同一個地方看。自訂工具： Pro 和 Max 訂閱者可以用 Computer 功能，叫 Perplexity 幫你做預算追蹤器、退休規劃表這類個人化的財務工具。
   目前只開放美加桌面版，帳戶資料不會經過 Perplexity 的伺服器，而且只有「唯讀」權

科技動態

1. South Korea introduces universal basic mobile data access
   南韓正式推動「無條件基本頻寬」(算數位人權)，要求三大電信商（SKT、KT、LG Uplus）針對所有 LTE 與 5G 套餐，在用戶流量耗盡後，必須預設提供 400 Kbps 的無限流量（QoS 限制速度，雖然無法看4K影片，但是可以做到 Vibe Coding、查地圖（MFA/2FA）推送通知
2. Brainrot 腦腐 介紹文 (好多套用的新名詞)
   症狀 : 比較難需要思考的問題，你就會煩躁，比較長的文就想跳開，比較需要設計的架構演算法就....，不只是心理煩躁 因過度沉迷低品質、無意義的短影音或網路上瑣碎內容，導致個人精神或智力狀態下降 ，難以專注
3. 華盛頓大學開發出無線耳機中的微型攝影機 Tiny cameras in earbuds let users talk with AI about what they see
   使用者可以把眼前看到的景象直接說，耳機就會把圖像透過藍芽給手機，要 AI 轉譯工作得到回答
4. 美國推「電腦系統年齡驗證」新法案 安裝 Windows、macOS 都要查用家年齡
   (1) 4 月 13 日正式提交《家長決定法案》（Parents Decide Act，H.R. 8250），要求所有作業系統供應商強制驗證用戶年齡，涵蓋手機、平板及電腦各類作業系統，包括 Windows、macOS 及 Linux。
   (2) 法案同時要求作業系統供應商建立機制，讓第三方 App 開發者能存取用戶年齡資料，以便在用戶下載或啟動應用程式時同步確認年齡。新法案目標是讓家長能由裝置設定層面直接監管子女可存取內容，包括社交媒體、App 及 AI 平台

資安事件

1. Adobe 資料外洩事件，駭客聲稱取得大量客戶與員工資料
   攻擊者聲稱取得1,300萬筆內含個人資料的客戶支援工單（support ticket），1.5萬筆員工紀錄
2. Mercor資料外洩後的3000億危機：AI新創5天內流失30%客戶（別把員工履歷交給矽谷新創）
   - Mercor把客戶的履歷、面試影片餵給AI學習，結果這些資料被駭客16天整包搬走
   - 104、CakeResume都證實有客戶資料受影響
   - 內文有導入AI工具前，要先問的三個問題
3. Booking.com爆資安外洩！圖解三階段攻擊鏈，台灣旅客防範指南＋申訴管道一次看
   線上旅遊訂房 Booking.com外洩用戶訂房資料、個資
   - 登出所有裝置、啟用兩階段驗證並刪除綁定的信用卡資
   - 不要點擊 email 或 Booking 內建聊天功能中的連結
   - 不要使用 Booking 內建聊天功能（駭客可能已取得控制權）
   - Booking 完成訂房後絕不會要求點連結補差價或填寫任何信用卡資訊
   - 直接到飯店官網查找聯絡管道確認
4. 五福旅遊 遭駭之資安事件 「20萬旅客護照」被公開 觀光署重罰100萬
   - 就本公司115年1月27日遭受網路駭客攻擊，致發生該次資安事件，違反個人資料保護法第27條第1項規定。 處分情形：裁處新臺幣100萬元罰鍰
   - 駭客PO出竊密截圖，並公開五福旅行社高達23GB資料，還提供連結供不特定人下載檔案，其中竟然包括近年開團旅客資料庫、機票與訂位紀錄、護照內頁，甚至涵蓋旅客照片、姓名、身分證字號、住址、手機號碼及航班資訊等敏感個資。 更離譜的是，記者發稿前致電向五福旅行社查證，發言人錢緯銘竟宣稱只是公司圖庫伺服器故障，正為網站重新上圖修復，直到記者說明旅客護照內頁已被公開，才驚覺事態嚴重，事後發聲明公開道歉

漏洞

人力不足 漏洞數暴增263%，NIST縮減CVE分析範圍轉向風險優先 ：
- NIST 4/15宣布不再對所有漏洞進行完整分析與評分
- CVE數量快速成長已超出處理能力
- 優先處理已被利用與關鍵系統漏洞，未被列入優先分析範圍的CVE，將被歸類為未排程（Not Scheduled）

1. Apache Tomcat v9.x~v11.x vulnerabilities
   CVE-2026-29145 9.1 CRITICAL CLIENT_CERT authentication does not fail as expected for some scenarios when soft fail is disabled vulnerability in Apache Tomcat, Apache Tomcat Native
   CVE-2026-24880 7.5 HIGH
   CVE-2026-29146 7.5 HIGH
   CVE-2026-29129 7.5 HIGH
   CVE-2026-34483 7.5 HIGH
   CVE-2026-34486 7.5 HIGH Fix for CVE-2026-29146 allowed bypass of EncryptInterceptor
   CVE-2026-34487 7.5 HIGH
   FIXED: patch
2. Kibana 8.19.14, 9.2.8, 9.3.3 Security Update
   CVE-2026-4498 7.7 HIGH (ElasticSearch / kibana)
3. 又有第三個Microsoft Defender零時差漏洞被揭露
   (1) CVE-2026-33825(BlueHammer) : 4月3日在GitHub上公開了概念驗證（Proof of Concept，PoC）程式碼，外界稱此攻擊手法為「BlueHammer」
   能將原本具有保護功能的系統權限轉化為惡意攻擊的途徑，進而取得系統最高權限
   (2) RedSun 零日漏洞
   (3) UnDefend
   FIXED : 2026 年 4 月Patch Tuesday
4. Acrobat Reader本月計畫更新，
   CVE-2026-34621 9.6 CRITICAL ，零時差漏洞遭到濫用，並建議用戶三天內一定要完成更新 (從2025 年 11 月 28 日攻擊者利用此漏洞的時間至少長達四個月。攻擊者可利用此漏洞讓惡意 PDF 繞過沙箱限制，呼叫特權 JavaScript API 執行惡意行為。該漏洞最大的威脅在於其觸發門檻極低。使用者只要開啟惡意 PDF 檔案，無需任何額外點擊或授權操作，攻擊程式即會自動執行)
   FIXED : 軟體內的「說明 > 檢查更新」功能進行自動更新
5. 美國政府部門必須在兩星期內確保系統已安裝EXCEL 最新修補程式
   CVE-2009-0238 9.3 CRITICAL 特殊設計的 Excel 檔案，一旦受害者開啟，攻擊者便能遠端執行惡意程式碼
   影響版本：Microsoft Office 2000 SP3、Microsoft Office XP SP3、Microsoft Office 2003 SP3、Microsoft Office 2007 SP 的 Excel、Excel Viewer 2003、Microsoft Office Compatibility Pack 2007 SP1，另外 Mac 平台的 Microsoft Office 2004 for Mac 及 Microsoft Office 2008 for Mac
6. SQL Server
   CVE-2026-33120 8.8 HIGH Untrusted pointer dereference in SQL Server allows an authorized attacker to execute code over a network.
   CVE-2026-32167 - SQL Server 提高權限
   CVE-2026-32176 - SQL Server 提高權限
   FIXED : Security UPDATE KB5084815 - 2022 SQL Server
7.  .NET Framework
   CVE-2026-23666 7.5 HIGH unauthorized attacker to deny service over a network.
   CVE-2026-26171 7.5 HIGH
   CVE-2026-32178 7.5 HIGH
   CVE-2026-32203 7.5 HIGH
   CVE-2026-33116 7.5 HIGH
   FIXED: Security UPDATE
8. Windows Kerberos Elevation of Privilege Vulnerability
   CVE-2026-27912 8.0 HIGH Improper authorization in Windows Kerberos allows an authorized attacker to elevate privileges over an adjacent network.
   FIXED : Security UPDATE
9. Windows Active Directory 遠端執行程式碼弱點
   CVE-2026-33826 8.0 HIGH Improper input validation in Windows Active Directory allows an authorized attacker to execute code over an adjacent network.
   影響 ：Windows Server 2016/2019/2022/2025
10. GitLab Patch Release: 18.10.3, 18.9.5, 18.8.9
    CVE-2026-5173 8.5 HIGH
    CVE-2026-1092
    CVE-2025-12664
    FIXED : PATCH
11. Synology-SA-26:05 Synology SSL VPN Client
    CVE-2021-47961 8.1 HIGH Plaintext Storage of a Password
    FIXEDL : Upgrade to 1.4.5-0684 or above.
12. Oracle JDK Java SE
    CVE-2026-22016 7.5 HIGH
    CVE-2026-34282 7.5 HIGH
    FIXED : Oracle Critical Patch Update Advisory - April 2026
13. Oracle VirtualBox
    CVE-2026-35251 7.5 HIGH
    CVE-2026-35246 7.5 HIGH
    CVE-2026-35245 7.5 HIGH
    CVE-2026-35242 7.5 HIGH
    CVE-2026-35230 7.5 HIGH
    FIXED : Oracle Critical Patch Update Advisory - April 2026
14. Spring Security servlet Path Not Correctly Included in Path Matching of XML Authorization Rules
    CVE-2026-22753 7.5 HIGH  <sec:intercept-url servlet-path="/servlet-path" pattern="/endpoint/**"/> to define the servlet path for computing a path matcher, then the servlet path is not included and the related authorization rules are not exercised. This can lead to an authorization bypass
    CVE-2026-22754 7.5 HIGH
    FIXED : Servlet Path Not Correctly Included in Path Matching of XML Authorization Rules
15. CPU-Z 和 HWMonitor 發現官網下載點遭植入惡意木馬 (MIS可能會使用的工具)
    一個外部 API 被入侵，網站上的 HWMonitor 1.63 版本與 CPU-Z 2.19 版本的下載連結，被導向至非官方的 Cloudflare R2 雲端儲存路徑，而非 download.cpuid.com，導致用家錯誤下載了被「加料」的安裝檔
    下載時間範圍為4月9日至10日的6小時會中