針對微軟11月例行更新(Patch Tuesday)修補的零時差漏洞CVE-2024-43451,通報此事的研究人員公布駭客如何將其用於攻擊行動,並指出觸發漏洞的方式相當簡單,若拿到攻擊者提供的檔案,使用者只要透過右鍵點選,或是刪除、拖曳到其他資料夾,就會中招

新聞 | CMMC | CMMC 2.0 | FCI | CUI | DIB | C3PAO

美國防部10月15日公布CMMC 規則,認證等級從原先五級簡化為三級

CMMC 規則(CMMC Rule)將CMMC 1.0版的五個等級認證,簡化成為CMMC Rule的三個等級,不僅會分階段陸續推動,最終,所有的國防採購合約都會納入CMMC的認證要求;未來有處理、儲存或傳輸聯邦合約資訊(FCI),以及受控未分類資訊(CUI)的承包商或分包商,都需要取得相對應的CMMC認證    

2024-10-16

新聞 | 工控 | Moxa | CVE-2024-9137 | CVE-2024-9139

部分工業用路由器存在重大漏洞,臺廠Moxa發布新版韌體修補

本週臺灣工控設備製造商四零四科技(Moxa)針對旗下路由器設備發布新版韌體,目的是修補重要功能執行未驗證身分的漏洞CVE-2024-9137,以及作業系統命令注入漏洞CVE-2024-9139

2024-10-16

新聞 | Android 15 | 私人空間 | Private Space

Google著手部署Android 15,私人空間上陣

Android 15加入類似數位保險箱的私人空間功能,供使用者存放金融服務等敏感程式,要存取私人空間內的應用程式,必須進行額外身分驗證

2024-10-16

新聞 | 雲端資料庫 | 配置不當 | 配置錯誤 | 資料外洩 | 奧丁丁 | OwlTing

奧丁丁雲端儲存庫配置不當,70萬臺灣旅客訂房資料曝險

Cybernews發現奧丁丁(OwlTing)的雲端儲存庫配置不當,導致約76萬名訂房旅客資料在公開網路上曝光

2024-10-16

新聞 | 臺大醫院 | AR | 光場 | 3D重建 | 焦距 | AR導引手術

解決傳統AR裝置暈眩痛點,臺大團隊打造光場擴增實境顯示技術應用

臺大團隊打造一款光場擴增實境(AR)顯示裝置,能解決傳統AR技術裝置的暈眩和眼睛疲勞問題。這是因為,光場光場顯示技術可將場景中的光線投射至眼睛,就像在觀看實物一樣。他們也與醫療團隊合作,找出可行的醫療應用,如胃部影像3D重建。

2024-10-16

新聞 | iPad mini | Apple Intelligence

蘋果發表新一代iPad mini

蘋果新推出的iPad mini 7採用與iPhone 15 Pro一致的A17 Pro晶片,CPU與GPU性能較前代iPad mini 6提升二至三成,並支援生成式AI服務Apple Intelligence

2024-10-16

新聞 | 英特爾 | Intel | AMD | x86 | x86 ecosystem advisory group

英特爾與AMD攜手推動x86架構

因應動態AI任務、客製化晶片,以及Arm架構的挑戰,英特爾與AMD二家處理器大廠宣布成立x86生態系統諮詢小組,以推動x86架構的互通性,簡化軟體開發

2024-10-16

新聞 | Fortinet | CVE-2024-23113

逾8萬臺Fortinet設備曝露於今年2月公告的RCE漏洞

上週美國網路安全暨基礎設施安全局(CISA)證實CVE-2024-23113已被用於實際攻擊,要求聯邦機構著手處理,但近期有資安機構表示,全球很可能還有約8.7萬臺Fortinet設備尚未修補漏洞

2024-10-16

新聞 | Amazon | 通行密鑰 | Passkey

Amazon將全面擁抱Passkey

去年開始於電子商務服務中部署通行密鑰(Passkey)後,Amazon明年將讓旗下更多應用及服務支援通行密鑰,讓使用者利用裝置上的生物辨識功能或裝置PIN碼完成無密碼登入

2024-10-16

新聞 | 生成式AI | 零售業 | 歐宗殷

【統一集團AI顧問現身說法】零售業應用生成式AI五大階段

曾調任統一資訊總經理的高科大行銷與流通管理系副教授歐宗殷歸納出零售業應用生成式AI的必經5大階段,及這些應用帶來的4種價值。其中,臺灣企業多發展到第四步

2024-10-16

新聞 | 思科 | 網路攻擊 | 資料外洩

駭客兜售聲稱竊自思科的開發、憑證資料,可能殃及微軟、AT&T

根據Bleeping Computer報導,思科以及其客戶微軟、AT&T內部資料流入地下論壇,對此思科表示將著手調查

2024-10-16

新聞 | 開源套件 | 命令列工具 | Python

開源套件進入點可被攻擊者用於指令劫持

攻擊者可濫用開源套件進入點功能,偽裝成常用開發工具,木馬化命令列工具隱蔽地執行惡意程式碼,攻擊開發環境與企業基礎設施

2024-10-16