資安

Let's Encrypt更新用於防範憑證頒發網域驗證中間人攻擊的ACME-CAA功能，現在讓用戶能夠限制CAA的ACME帳戶以及驗證方法集

駭客鎖定Windows、Linux連網裝置散布殭屍網路病毒MCCrash，目的是要用來發動DDoS攻擊；美國FBI、FDA提出警告，已有數家食品業者遭到BEC攻擊，駭客對其訂貨再進行銷贓

臉書除了提高行動遠端程式碼執行漏洞的通報獎金，也將帳號接管（ATO）及雙因素驗證（2FA）繞過漏洞納入漏洞獎勵計畫

樂高（LEGO）線上市集bricklink.com存在兩個API安全漏洞，可能導致使用者帳戶遭接管，還允許攻擊者存取伺服器機密資訊

本周有微軟、Citrix、Fortinet、蘋果與Veeam的多個漏洞修補需要特別注意，已有駭客組織在攻擊行動利用這些漏洞；在其他漏洞修補新動向上，包括多家WAF產品業者修補一項漏洞，是關於WAF無法識別JSON格式，導致可能被用於發動SQL注入攻擊，以及數家防毒軟體與EDR業者修補零時差漏洞，可被用於破壞電腦資料

GitHub宣布開始對社群公開儲存庫提供免費秘密掃描，用戶會在程式碼洩漏秘密時候收到警報

推動零信任轉型多年的Google，最近該公司難得在臺說明他們的零信任實踐原則，Google Cloud台灣技術副總經理林書平表示，他們的零信任是以身分作為存取控制的邊界，並聚焦在5大身分面向，包括：使用者、裝置、機器、服務、程式碼。此外，可信任軟體亦是根本，他並提及Google Cloud在安全軟體供應鏈的推動

SAP發布12月份的例行修補，當中修補了4項CVSS風險評分達9.8分以上的重大漏洞；Mandiant、SentinelOne、Sophos發現駭客運用微軟簽章的驅動程式發動攻擊