回顧1月第二星期的資安新聞,臺灣國家安全局與日本警方相繼公布中國駭客的威脅態勢,以及國內上市櫃遭遇供應鏈攻擊、勒索軟體攻擊與DDoS攻擊的事件是主要焦點;在資安威脅技術方面,有雙點擊劫持的攻擊手法、濫用應用程式安全測試OAST機制需要重視
新聞 | Apache | Apache Traffic Control | CDN | SQL injection | CVE-2024-45387
Apache修補開源CDN軟體Traffic Control重大層級SQL注入漏洞
本週Apache基金會針對內容傳遞網路(CDN)軟體Apache Traffic Control發布8.0.2版更新,目的是為了修補SQL注入漏洞CVE-2024-45387,此漏洞CVSS風險評分達到9.9,非常危險
2024-12-26
【資安日報】12月25日,美國政府下令萬豪、喜達屋旅館集團強化資安
針對最近幾年大型旅館集團萬豪國際(Marriott International)資安外洩事故頻傳的情況,美國聯邦交易委員會(FTC)於2個月前提出訴訟,上週下達該集團必須改善資安的命令
2024-12-25
新聞 | Hugging Face | DVTS | Deepmind
小模型可用更長運算時間換取更高精準度,Hugging Face發表測試階段運算擴展的研究
Hugging Face研究顯示小型模型在測試階段運算擴展(Test-Time Compute Scaling)下,能在數學推理等特定任務中超越大型模型
2024-12-25
新聞 | Webmin | CVE-2024-12828 | Virtualmin
控管Unix與Linux系統的開源套件Webmin有重大漏洞,一般帳號可趁機偷用root權限執行惡意命令
今年3月漏洞懸賞專案Zero Day Initiative(ZDI)找到伺服器網頁管理主控臺Webmin重大層級漏洞CVE-2024-12828,若不處理,攻擊者有機會在入侵非特權用戶的情況下,以root權限執行任意程式碼
2024-12-25
新聞 | Apache | Tomcat | CVE-2024-50379 | TOCTOU | CVE-2024-56337
Apache基金會修補網頁伺服器元件Tomcat遠端程式碼執行漏洞
上週Apache基金會針對網頁伺服器系統Tomcat修補重大層級的遠端程式碼執行(RCE)漏洞CVE-2024-50379,但後來他們發現,相關更新軟體出現修補不全的情況,並指出用戶必須調整Java組態因應
2024-12-25
新聞 | Telegram | Pavel Durov | 社交平臺
Telegram在2024年實現商業化以來首次獲利,營收超過10億美元,主要收入來源是Premium訂閱與廣告收入成長
2024-12-25
