零時差漏洞

在本週資安新聞中，以路由器安全漏洞修補，殭屍網路鎖定多家已知漏洞攻擊的消息最受關注；而在攻擊活動與威脅揭露方面，有攻擊者劫持用戶廢棄的AWS S3儲存桶來當作散布惡意套件的存取來源的揭露，以及釣魚工具包去年普遍納入MFA Bypass能力的調查公布成為焦點

本週有2個漏洞利用消息需注意，包括Fortinet SSL VPN與VMware ESXi的漏洞均已遭駭客利用；歐洲議會《AI Art》草案通過成焦點，將針對AI技術研發過程與應用設下諸多限制

本週有3個漏洞利用消息需注意，包括Chrome修補一個零時差漏洞，以及兆勤修補的兩個已知漏洞；關於MOVEit Transfer零時差漏洞攻擊的後續揭露不斷，包括攻擊背後研判是勒索軟體駭客組織Clop，受害企業家數可能破百，以及攻擊者可能早在2年前就發現，而持續布局至今

本周發布的Chrome桌機版更新，Google修補一項高風險漏洞CVE-2023-3079，這項漏洞除了影響所有Chromium-based瀏覽器，網路上也已經出現針對本漏洞的攻擊程式

本周有Barracuda零時差漏洞遭攻擊需優先注意，在漏洞修補消息方面則包括GitLab、D-Link與Zyxel以及應用程式框架Expo；在攻擊活動方面，以中國駭客組織Volt Typhoon從2021年中開始攻擊美國關島重大基礎設施的報告揭露最受關注，當中解析了攻擊上的TTPs，並指出該組織相當擅用寄生攻擊手法

本周有6個漏洞利用消息成焦點，包括蘋果修補3個WebKit零時差漏洞、Samsung裝置的漏洞，以及兩個Cisco早年的已知漏洞；本周國內資安事件頻頻引發關注，包括Yoxi、微笑單車公告遭網路攻擊，誠品、統聯客運客戶資料外洩被用於詐騙，以及財政部電子發票平臺企業帳號的共通預設密碼狀況

蘋果快速安全更新以自動安裝模式，針對最新版iOS、iPadOS及macOS裝置修補零時差漏洞

Google在4月18日修補的CVE-2023-2136已出現相關攻擊活動，這項漏洞存在於Chrome開源2D繪圖函式庫Skia，可讓遠端攻擊者執行沙箱逃逸，在用戶機器上執行惡意活動