針對微軟11月例行更新(Patch Tuesday)修補的零時差漏洞CVE-2024-43451,通報此事的研究人員公布駭客如何將其用於攻擊行動,並指出觸發漏洞的方式相當簡單,若拿到攻擊者提供的檔案,使用者只要透過右鍵點選,或是刪除、拖曳到其他資料夾,就會中招

新聞 | 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | AI資安 | 黑帽大會

【資安週報】2024年8月5日到8月9日

這一星期的資安新聞重頭戲是Black Hat USA年度大會,全球頂尖資安研究人員揭露多項最新研究成果;在資安漏洞與態勢方面,國內要特別注意的是,賽門鐵克揭露發現中國駭客組織UNC5330濫用合法雲端服務,因為臺灣也有組織遇害,還有思科Talos揭露臺灣研究機構遭中國駭客組織APT41攻擊

2024-08-12

新聞 | AMD | CVE-2023-31315 | 晶片 | 安全漏洞

研究人員揭露AMD晶片的Sinkclose漏洞,存在近20年

由資安業者IOActive揭露的AMD晶片安全漏洞CVE-2023-31315,允許駭客於系統管理模式執行程式碼,影響絕大多數AMD處理器,而AMD提供的修補排除了Ryzen 3000 Series桌面處理器

2024-08-12

新聞 | Snowflake | 跨區域推論 | Cortex AI

Snowflake正式開放跨區域AI推論功能,從AWS平臺著手

AI分析雲端服務商Snowflake宣布其Cortex AI服務套件啟用跨區域推論功能,以滿足某些區域沒有可用推論服務的用戶需求

2024-08-12

新聞 | Paint 3D | Windows | 微軟

Windows 3D版小畫家可能將在11月4日除役

媒體Windows Latest在Beta頻道的Windows 11更新發現,微軟預告3D版小畫家(Paint 3D)將在今年底從Microsoft Store下架

2024-08-12

新聞 | Office | 漏洞 | NTLM | CVE-2024-38200

Office尚無更新版的漏洞可能導致敏感資料外洩,多個版本受影響

微軟於8月8日公布一項影響Office的安全漏洞CVE-2024-38200,可造成敏感資訊洩露給未經授權的攻擊者,同時說明有效版本的Office、M365用戶已獲得防護,但仍需安裝預定在臺灣時間8月14日釋出的安全更新

2024-08-12

新聞 | 資料庫 | PII | 選舉 | 資料洩漏

科技業者資料庫配置不當,導致美國460萬選民資料曝露網上

伊利諾州13郡選民和選舉資料庫未受密碼保護,個人資料暴露在網際網路上,引發隱私與選舉安全隱憂

2024-08-10

新聞 | Apple | DMA | App Store | 歐盟

Apple調整歐盟DMA新規措施,仍遭Epic Games執行長猛烈批評

Apple調整針對歐盟《數位市場法》所引入的新收費結構,不過Epic Games執行長Tim Sweeney仍猛烈抨擊,認為Apple收取的高額費用阻礙替代App Store的競爭

2024-08-10

新聞 | OpenAI | GPT-4o-2024-08-06

OpenAI悄悄釋出GPT-4o更新

OpenAI發布新版GPT-4o模型GPT-4o-2024-08-06,強調改進開發速度與效能、價格也更便宜

2024-08-10

新聞 | IT周報 | Line官方帳號 | 顧客數位體驗 | 無人結帳 | Just Walk Out | 生成式AI

零售IT雙周報第40期:Line推出官方帳號開店幫手,可在聊天室經營電商且內建金物流解決方案

本期零售IT雙周報重點:Line推出官方帳號開店幫手,可在Line聊天室內經營電商且內建金物流解決方案;統一資訊推出分析連鎖品牌Google商家檔案上顧客評論及評分的工具;Amazon如何強化Just Walk Out技術辨識商品取放的精確度及效率

2024-08-09

新聞 | 資安日報

【資安日報】8月9日,資安業者公布6起濫用雲端服務的後門程式攻擊行動,並指出有臺灣組織受害

在為期6天的國際資安大型會議Black Hat USA 2024上,有研究人員針對駭客偏好濫用雲端服務從事攻擊行動提出警告,並指出手法變得更加複雜,甚至有同時採用多種雲端服務的現象

2024-08-09

新聞 | T-Head | 平頭哥 | RISC-V | 玄鐵C910 | GhostWrite

RISC-V處理器存在GhostWrite漏洞,攻擊者有機會取得設備完整控制權

德國CISPA亥姆霍茲資訊安全中心揭露名為GhostWrite的漏洞,存在於中國半導體業者平頭哥(T-Head)生產的RISC-V處理器玄鐵C910,並指出這項漏洞的影響範圍可能會很廣泛,而且難以修補

2024-08-09

新聞 | AWS | Bucket Monopoly | Shadow Resources | Black Hat USA 2024

系統背景自動產生的影子資源恐出現弱點!研究人員揭AWS服務存在Bucket Monopoly、Shadow Resources漏洞

有研究人員指出,使用者在AWS建立特定服務的過程中,系統於背景自動產生的S3儲存桶名稱,讓攻擊者有可乘之機,藉由在不同地區搶先註冊指定帳號,從而有機會對目標用戶下手

2024-08-09