一周大事：Intel處理器漏洞連環爆，Windows緊急修補。新式旁路攻擊只靠控制電流噪音就能「聽」出螢幕內容

英特爾處理器漏洞連環爆，Windows緊急釋出修補

近期英特爾CPU接二連三爆出Spectre、Foreshadow等重大安全漏洞，令企業修補不及，微軟八月二十三日針對Windows 10 1803、Windows Server 1803版本，釋出包含修補多項漏洞的Intel CPU微程式碼的安全更新。

編號KB4346084的Windows更新包含英特爾最近宣布已完成驗證、並針對新近CPU平臺發佈新的微程式碼。這批微程式碼旨在修補Spectre變種3a（CVE-2018-3640）、4（CVE-2018-3639）以及近期揭露的Forshadow或L1TF（L1 Terminal Fault）漏洞，這裏修補的漏洞包括3個L1TF漏洞中的2個：CVE-2018-3615、CVE-2018-3646。此外，除了年初微軟的KB4100347外，這次更新也包含Spectre變種2（CVE-2017-5715）的Intel CPU更新微程式碼。更多內容

Google要讓Android P更新簡單又有效率

圖片來源／Google

最近Google公開了其Android安全更新計畫，要提高介面的模組性以及清晰度，讓作業系統的子系統更新時，不會對其他子系統產生影響。

首先，Treble專案則是簡化更新工程的第一個策略，把Android作業系統模組化，從硬體拆分出來，大幅簡化了更新裝置所需要的工作量，而新釋出的作業系統Android P就使用了這項新技術，使其系統更新更加有效率，是目前所有Android中最容易更新的版本，而模組化策略也同樣適用於安全更新，因為框架安全性更新可以獨立於裝置特定組件。第二個策略是將作業系統的服務抽出，放到使用者模式的應用程式中，如此，這些應用程式便能獨立更新，包括安全網路組件的Google Play服務及Chrome瀏覽器。更多內容

AWS執行個體新成員報到，性價比更高的T3上線了

日前Amazon宣布於全球12個地區，推出T3執行個體，按需價格從t3.nano每小時0.0052美元起，比較起T2更具成本效益。

Amazon提到，當使用者的工作負載落在M4或是M5執行個體間，而且不需要持續穩定的計算能力，就可以考慮把工作搬遷到T3執行個體上，使用者就能夠以更低的成本託管工作負載，當有突發高流量出現時也不用擔心，T3具備超越基準效能的能力，提供持續高效能的運算能力。這個特性跟T1與T2執行個體相同，T3擁有基準處理能力保證，並在需要的時候垂直向上擴展運算能力至完整核心效能。更多內容

新式旁路攻擊只靠控制電流噪音就能「聽」出螢幕內容

圖片來源／特拉維夫大學

來自密西根大學、賓州大學、以色列特拉維夫大學及哥倫比亞大學的幾名研究人員，發表一研究報告，指出駭客可以藉由視訊攝影機或螢幕所內建的麥克風，在視訊會議中或已存檔的語音紀錄中「聽見」使用者螢幕上的內容，屬於新型態的旁路攻擊漏洞。

研究人員指出，駭客可透過麥克風紀錄電腦螢幕所發出的聲音來推測螢幕內容。電腦螢幕的聲音來自電源在控制電流時所發出的噪音，這些聲音會根據描繪螢幕視覺內容所需的電力而有所不同，人類的耳朵幾乎聽不到這些聲音，但尋常麥克風就能偵測並紀錄它們。更多內容

T-Mobile遭駭！客戶姓名、電郵及密碼外洩

T-Mobile的網路安全部門在8月20日一早，發現該公司伺服器發生事故，「一小部份」用戶資料，遭未經授權人士複製取走後立即切斷網路，並且立即報警。外洩的資料包括姓名、居住地郵遞區號、電話號碼、電子郵件、帳號及帳號類別（預付或後付）等。T-Mobile強調用戶的財務資訊（如信用卡號）、社會安全號碼並未外洩。T-Mobile表示，來自「國際組織」的駭客透過API存取該公司的伺服器，進而竊取了用戶個資。但是該組織是網路罪犯或是國家資助的駭客，則尚不得而知。更多內容

Go 1.11來了！可碼編譯為WebAssembly

在今年4月，Go官方就預告即將支援Go編譯成WebAssembly，一展取代Javascript的野心，而這個功能就在近期釋出的最新版本Go中實現了，雖然1.11是個小更新，但除了WebAssembly的支援外，也加入了模組概念，另外還更新了工具鏈、Runtime和函式庫。

Go 1.11新加入了模組的概念，這是整合了版本控制以及套件發布的GOPATH替代方案。使用模組，開發者不再受侷限於GOPATH中工作，版本相依成為外顯資訊並且更加輕量，程式建置也將更可靠，並且具可重複性。目前模組支援仍在實驗階段，存在一些已知的問題正待解決，也會根據使用者的回饋進行改進，因此細節可能發生變化，雖然如此，但官方承諾，在Go 1.11轉換使用模組的專案，將能在Go 1.12或更高版本中繼續運作。更多內容

臺中市要用人工智慧強化市政服務

隨著各界大舉擁抱人工智慧技術，臺中市政府資訊長蕭景燈表示，政府也應積極採用新科技。對此，蕭景燈揭露了臺中市政府正在進行的AI專案，包括兒少保護個案安置的分析預測與優化，以及精神患者的行為預防。更多內容

外洩API恐讓黑帽大會所有與會者的個資曝光

一名綽號為NinjaStyle的安全研究人員指出，透過外洩API就能找到2018年黑帽駭客大會（Black Hat）與會人員的所有個資，包括電子郵件、地址、電話與公司名稱等，由於參與黑帽大會的多為資安高手，有些與會者之間還存在對立關係，更使得NinjaStyle的發現受到矚目。更多內容

記憶體資料庫Redis調整使用政策，遏止雲端服務商單方牟利

開源記憶體資料庫Redis背後官方贊助商Redis Labs宣布，其為Redis建構的模組包含RediSearch、Redis Graph、ReJSON、Redis-ML和Rebloom，現在採用Commons Clause修改的Apache 2.0授權許可，這項修改針對現有雲端服務供應商（CSP），將不再能單純以提供使用Redis Labs模組的Redis託管服務收費，但這項改變不影響其他私人與商業用途，仍維持免費自由使用。更多內容

Cloud Foundry調查：Java和JS依然是企業開發者最愛

早前IEEE Spectrum發布了學術界的程式語言偏好調查，而開源雲端平臺Cloud Foundry基金會，最近也公布了企業愛用的程式語言排名，Java和JavaScript仍然穩居第一、第二名寶座，甚至有與第四名之後拉開距離的趨勢，而學術界愛用的Python在企業界反而沒有這麼熱門，使用比例甚至從2017年11月的30％，降到今年3月的25％。更多內容

LinkedIn釋出AI人才技能發展圖

LinkedIn最近釋出一張AI人才的技能發展圖，揭露這些人在不同階段所學習到的技能順序，指出他們在獲得機器學習技能前，通常會先習得R、Python語言和資料探勘技能。此外，LinkedIn也一併提供了機器學習專業人士的產業分布狀況，以及這些人在不同產業所擁有的「可轉移」技能。這些資料，可作為找尋AI人才雇主的參考。更多內容

電視界也吹AI風！BBC開始用AI製作節目

英國廣播公司BBC也開始用AI來輔助節目製作！該公司旗下頻道BBC 4，在去年就與自家研發部門密切合作，研究如何透過AI和機器學習技術，從BBC巨量節目檔案庫中找出合適該頻道的影片，並自動剪輯、編輯成一段有意義的影片。經過一年多的努力，BBC也打算將研究成果展示出來，日前更宣布將於9月時，在自家AI電視頻道BBC 4.1上，介紹輔助節目製作的AI技術應用。更多內容

加密貨幣交易或ICO要不要課稅？

勤敏聯合會計師事務所朱財寶，在一場天遠律師事務所舉辦的「加密貨幣的法遵及銀行實務」研討會，與律師劉立恩針對加密貨幣用戶與業者最關心的課稅問題，進行深度對談。

朱財寶表示，目前國稅局將加密貨幣定義為商品，所以加密貨幣的買賣，也被視為商品交易，就需要課徵營業稅。他也透露，金流是最好的證據，金錢的流動，凡走過必留下痕跡，未來國稅局一定會從銀行端撈取金流數據，只要國稅局發公文給銀行端，就一定追查得到金流數據。更多內容