【資安週報】2022年8月8日到8月12日

本週思科發布資安事件公告，揭露遭遇網路攻擊的事件，最受各界關注，而臺灣持續遭遇多起且零星的網路攻擊與騷擾事件，亦成國內與國際上的焦點。

在漏洞修補方面，本周除了關注微軟、IBM、思科、SAP、Adobe，以及Palo Alto Networks、F5，還有西門子、施耐德等產品安全性公告，加上新處理器漏洞的消息，另外，最近駭客組織鎖定一些漏洞攻擊，需要特別重視，包括關於Windows的DogWalk漏洞、關於Linux、Unix的UnRAR漏洞，VMware本月初修補的兩個漏洞，以及Atlassian Confluence的重大漏洞。

在攻擊趨勢上，Twilio與Cloudflare都揭露遭遇SMS簡訊網釣被入侵的經驗，關於網站Open Redirect的漏洞問題，本週亦有兩起揭露。

在國際重大資安事故，有兩起事件最受廣泛關注，一是丹麥7-11便利商店遭勒索軟體攻擊，使得門市無法作業營運2天，另一是英國衛生福利部NHS的MSP業者遭勒索軟體攻擊，造成111急救系統無法運作，需要3週以上修復時間。

本週重大資安新聞

【攻擊與威脅】

同時身肩資安大廠的思科（Cisco）於8月10日指出，他們在5月24日遭到攻擊，起因是有員工的私人Google帳號遭到入侵，駭客進而透過Chrome瀏覽器的組態，取得存取思科內部環境的帳密，並藉由大量撥打電話及發送多因素驗證請求，成功入侵思科。，並竊得2.75 GB資料，內含3,100個檔案。

臺灣政治與地理位置特殊，不僅長期處於西邊鄰居的罷凌威脅中，在美中貿易大戰後，臺灣也基於自身利益在國際政治的角力下，似圖找到能夠壯大自身、確保臺灣安定的平衡點。但事實上，因為國際上許多國家承認「一中政策」，這也使得臺灣在國際政治上舞臺上，不管如何想方設法想要努力爭取活動空間，都會遭到明裡、暗裡的阻撓手段。另外，只要中國國家主席習近平不願意放棄武統臺灣的想法，中國也會一直妨礙臺灣參與各種國際活動，即便是其他國家「主動」邀請臺灣參與的作為，也同樣會引發中國政府的不滿，甚至會引爆一系列的對臺網攻武嚇的各式攻擊手段。

近期最明顯的例子就是：美國聯邦眾議院議長裴洛西（Nancy Pelosi）日前率領美國眾議院國會訪問團來臺訪問。身為美國政壇第三把手的裴洛西，她不僅成為近25年來美國訪臺官員最高層級，這次率團訪問，也讓臺美關係發展更往前邁向一大步，同時也挑起中國對兩岸關係的敏感神經，各類攻擊手段不曾間斷。

雲端客戶溝通系統Twilio於8月7日發布公告，有人透過網釣簡訊發動攻擊，取得該公司員工的帳密，進而存取內部網路並偷取客戶資料。攻擊者假借密碼過期或是班表變更的理由，要求員工點選簡訊的連結進行處理，而能成功騙取部分員工的帳號資料。

該公司亦指出，有其他公司也遭到類似的攻擊，但在通報電信業者與主機代管業者，撒銷駭客的帳號與網域後，這些駭客很快就另起爐灶，進行新的攻擊行動。不過，迄今駭客的身分仍不明朗，Twilio也並未說明他們受害的情形。

雲端服務業者Cloudflare指出，他們約有76名員工自7月20日收到上述的網釣簡訊，且部分員工的家人也遭到攻擊，簡訊內容包含了假造的Cloudflare的Okta登入網頁，但駭客的網域在這些人收簡訊的40分鐘前才註冊。根據該公司的資安團隊調查，確認有3名員工上當，在釣魚網頁輸入相關資料。然而Cloudflare員工都使用實體的FIDO2金鑰裝置進行多因素驗證，使得對方無法利用竊得的帳密來入侵Cloudflare。

該公司指出，若是駭客成功通過雙因素驗證，釣魚網站就有可能在受害電腦下載惡意程式，並部署遠端桌面軟體AnyDesk，以便駭客遠端控制。

美國網路安全暨基礎設施安全局（CISA）於8月9日，將CVE-2022-34713、列入已遭利用的漏洞名冊，前者是名為的漏洞，駭客可濫用微軟支援診斷工具（MSDT），將惡意程式植入Windows啟動資料夾，微軟也證實此漏洞被用於攻擊行動；後者則存在於可在Linux與Unix作業系統執行的UnRAR應用程式，為路徑遍歷漏洞，攻擊者可利用存在這項漏洞的UnRAR，以解壓縮到任意資料夾的方式，在受害主機上植入惡意程式。CISA要求聯邦機構於8月30日完成上述漏洞的修補。

VMware於8月2日修補了CVE-2022-31656、CVE-2022-31659，前者的CVSS風險評分高達9.8分，事隔一週，該公司於9日更新資安公告，指出有人已經公開攻擊程式碼，可針對具備上述漏洞的VMware Workspace ONE Access、Identity Manager，以及vRealize Automation等系統發動攻擊，要用戶儘速安裝更新程式，或採取緩解措施。這裡提及的攻擊程式碼，很可能是資安業者VNG研究人員Petrus Viet發布的漏洞細節。

5月底被揭露的Atlassian Confluence零時差漏洞CVE-2022-26134，近期有研究人員公布更多當時駭客利用的細節。資安業者Deepwatch指出，名為TAC-040的駭客組織，在5月底利用上述的漏洞，攻擊研究與技術服務機構7天，駭客在入侵後利用Confluence資料夾裡的處理程序Confluence來執行惡意命令，並枚舉網路環境與AD的資料。

研究人員指出，這些駭客很可能也利用SpringShell漏洞，來取得Confluence伺服器的初始存取權限。攻擊者不只濫用受害主機挖取門羅幣，也部署名為Ljl Backdoor的後門程式來竊取機密資料。

資安業者Volexity提出警告，根據他們的調查，駭客在6月底開始對全球上千個協作平臺Zimbra發動攻擊，利用的就是該公司向軟體開發者通報的RCE漏洞CVE-2022-27925、身分驗證繞過漏洞CVE-2022-37042，駭客於受害的Zimbra伺服器上植入Web Shell。

研究人員指出，組織若是沒有在5月底前修補CVE-2022-27925，Zimbra伺服器就有可能遭到入侵。美國網路安全暨基礎設施安全局（CISA）也要求聯邦機構，在9月1日前完成修補這兩個漏洞。

美國網路安全暨基礎設施安全局（CISA）於8月4日，指出協作平臺Zimbra的高風險漏洞CVE-2022-27924已遭駭客積極利用，並將其列入已被利用的漏洞名單，要求美國聯邦機構要在8月25日前完成修補。

此漏洞一旦遭到利用，攻擊者可在未經身分驗證的情況下，竊得使用者的電子郵件帳密，CVSS風險評分為7.5分。Zimbra已於5月上旬發布9.0.0 Patch 24.1與8.8.15 Patch 31.1予以修補，研究人員呼籲用戶應儘速安裝新版程式來緩解前述漏洞。

英國NHS的111緊急通報系統於8月5日傳出服務中斷，起因與代管服務業者Advanced遭到攻擊有關，此業者於10日提出進一步說明。Advanced表示，他們約於8月4日上午7時遭到勒索軟體攻擊，共有7款產品的用戶受到影響，該公司委請Mandiant和微軟協助調查，並強化系統安全。初步調查結果顯示，他們的客戶並未受到攻擊，惡意軟體只有出現在該公司部分伺服器。

而對於受到波及的111系統，該公司表示重新提供相關服務可能需要三到四星期以上的時間。

丹麥7-Eleven連鎖便利商店於8月8日疑似遭到網路攻擊，導致PoS系統無法運作，迫使該公司關閉全丹麥的超商門市。針對此起事故發生的原因，資安專家Kevin Beaumont指出，業界傳聞很可能是代管服務業者（MSP）遭勒索軟體攻擊所致，但7-Eleven沒有說明遭到何種攻擊。因MSP遭到網路攻擊受害的連鎖商店7-Eleven並非首例，去年勒索軟體REvil即透過IT管理軟體Kaseya，攻擊歐美政府及企業，瑞典Coop超市因此受害，被迫關閉800家門市。

網路平臺的個資外洩，以及民眾面對假冒及詐騙的識別能力，持續是社會關注議題。我國刑事警察局165專線在8月7日，公布今年第二季高風險賣場名單，最嚴重的是博客來網路書店（2,725起），其次為迪卡儂（477件）、誠品網路書店（252件）、遠傳Friday購物（165件），以及蝦皮購物（119件）。其中最值得注意的是博客來，與第一季最多的業者529件相比，通報案件數量多達5倍。

資安業者Inky發現，發送釣魚郵件的駭客從5月中旬開始，濫用Snapchat和美國運通兩家公司的網域，利用開放重新導向的漏洞，將受害者導向惡意網站，企圖騙取Google Workspace或Microsoft 365帳號。駭客分別濫用上述公司網域寄送了6,812封與2,029封釣魚信，美國運通已修補上述漏洞，但Snapchat從2021年獲報後迄今仍未修補。

研究人員呼籲使用者，URL若是出現url=、redirect=、external-link等字串，或是含有多個HTTP，需要提高警覺，因為有上述特徵的URL，代表會重新導向其他網域，而有可能出現上述的攻擊。另外，網域管理者也要留意有關重新導向的配置，來防堵駭客濫用。

資安業者Resecurity發現利用網路釣魚工具包LogoKit的攻擊行動，駭客為了規避偵測，鎖定含有「放任重新導向弱點（Open Redirect Vulnerability）」的網站，來加以濫用，這波攻擊約自7月出現，並於8月初達到高峰。值得留意的是，駭客最近一個月內，就利用超過700個網站來進行掩護，這也突顯許多網站管理者可能認為重新導向的管制並不重要，而沒有加以管理，使得駭客得以濫用於隱匿攻擊行為。

在此之前，，駭客利用Snapchat與美國運通網站未管制重新導向的弱點，總共寄出近9千封釣魚郵件。

資安業者CloudSEK發現針對印度銀行用戶的網路釣魚攻擊，駭客為了避免東窗事發，他們濫用主機代管業者Hostinger提供的預覽網域（Preview Domain）功能，用來散布釣魚URL。

由於Hostinger讓新網域上線需12至24小時，在此期間該公司提供了預覽網域功能因應，但沒想到竟遭到濫用。

卡巴斯基自今年1月，發現中國駭客組織TA428攻擊亞洲與東歐組織的攻擊行動，目標是白俄羅斯、俄羅斯、烏克蘭、阿富汗等國的工廠、設計公司、研究機構、政府機關等，進行網路間諜行動。這些駭客利用Office漏洞CVE-2017-11882，來散布後門程式PortDoor，後續該組織又植入一系列的惡意軟體。其中最引起研究人員注意的，是過往未曾發現的後門程式CotSam。

比較特別的是，駭客為了讓CotSam能正常運作，同時也將舊版Word主程式下載到受害電腦。後續在受害組織進行橫向移動後，駭客掌控了網域權限並竊得機密文件，並使用以密碼保護的ZIP檔案打包，傳送到多個國家的C2伺服器外洩。

資安業者Group-IB在2020年發現專門竊取網路賣家信用卡資料的駭客集團Classicscam，過往攻擊目標為美國、歐洲、俄羅斯，但研究人員發現，這些駭客約自今年3月開始也攻擊新加坡人。駭客假借線上購物買家的名義，宣稱要向網路賣家購物，進而竊取賣家的信用卡資料，甚至是企圖藉由OTP洗劫銀行存款。研究人員指出，整個Classicscam集團共有超過200個網域用於攻擊，其中有18個是針對新加坡。

為了解決不同區塊鏈互動的需求，近期有不少提供跨鏈協定或跨鏈橋（Cross-chain Bridge）的系統業者出現，但他們的系統也成為駭客攻擊的頭號目標之一。區塊鏈分析業者Chainalysis近日提出警告，今年已發生13起跨鏈攻擊事件，盜走20億美元加密貨幣，規模占所有被竊的加密貨幣69%。此外，這些針對跨鏈橋的攻擊行動中，有10億美元與北韓駭客有關。

威脅情報業者Advanced Intelligence（AdvIntel）表示，，近期又再度出現。

有3個原本隸屬於Conti旗下的駭客組織：Silent Ransom Group、Quantum，以及Roy/Zeon利用此種手法發動攻擊，先是發送釣魚郵件，佯稱收信者線上購買了訂閱服務，若是有疑慮可撥打信件裡的專線請求退款。一旦受害者依照步驟撥打電話，就會有「客服」接聽，並指示提供相關的遠端桌面控制權，宣稱藉此才能取消軟體服務的訂閱。

駭客成功存取受害電腦之後，就會藉此入侵組織網路，並利用Conti武器庫的工具發動攻擊。研究人員提出警告，這種透過電話的社交工程攻擊，日後有可能會變得頻繁。

資安業者Palo Alto Networks針對近期的勒索軟體BlueSky進行分析，發現此勒索軟體納入了多款惡意軟體的特性，其中最引起他們注意的是導入Conti第3版的程式碼，而具備占用處理器多個執行緒的運作模式，來增加加密檔案的速度。

再者，駭客採用了Babuk的加密演算法和金鑰產生演算法模組。此外，用於代管勒索軟體BlueSky的網域也與竊密軟體RedLine也有所重疊，駭客都是透過PowerShell下載器來做為初始傳送管道。

駭客成功入侵受害企業後，很有可能會吸引其他組織對其出手。資安業者Sophos揭露針對一家汽車供應商的連環攻擊事故，勒索軟體駭客組織LockBit、Hive、BlackCat（Alphv）先後於4月20日、5月1日、5月15日入侵受害組織，並多次加密檔案，其中部分被加密多達5次。

研究人員發現，最後發動攻擊的BlackCat，在受害電腦上抹除了3個組織作案的蹤跡。由於駭客初始入侵的管道，主要是透過VNC和遠端桌面連線（RDP），資安業者呼籲企業要透過VPN提供員工外部存取的管道，並採用強密碼和多因素驗證（MFA）來提升防護層級。

資安業者Palo Alto Networks指出，駭客組織Tropical Scorpius（亦稱UNC2596）在今年5月初，使用勒索軟體Cuba發動攻擊的手法出現顯著變化。首先是他們透過核心層級的惡意驅動程式，來終止受害電腦防毒軟體的運作。此驅動程式濫用駭客組織Lapsus$竊得的Nivida憑證來規避偵測。

再者，駭客在經過一連串的系統偵察並竊取Kerberos憑證、透過ZeroLogon漏洞取得網域管理者權限後，於受害電腦部署名為Romcom的RAT木馬程式。此惡意軟體具備的功能，包含列出指定資料夾的檔案清單、將資料打包成ZIP檔案回傳至C2，以及透過PID Spoofing來產生處理程序等。研究人員認為，上述加入的手法將使得Cuba勒索軟體攻擊變得更加危險。

上週我國多個政府機關網站遭到境外DDoS攻擊而癱瘓，不少民眾質疑政府防護的能力不足。對此，行政院數位發展部部長唐鳳於8月7日接受自由時報專訪時指出，數位發展部網站於解放軍演習首日（8月4日）中午上線，強調一秒鐘都沒有卡住，原因在於此網站採用Web3架構，後端採用星際檔案系統（IPFS），唐鳳亦表示此新架構骨幹不需額外花錢，若是數位發展部的網站能經得起DDoS攻擊，會將此種架構推廣到其他政府機關。

這篇報導公開之後，引起眾多網路使用者的熱烈討論，有人將其視為防範DDoS攻擊的新解藥，但也有人認為，數位發展部的網站剛上線不久，駭客很可能尚未將其視為攻擊目標。

臺灣在8月初接連發生總統府、國防部、外交部網站遭到攻擊，以及統一超商和臺鐵電子看板被置入恐嚇訊息等資安事故。有自稱是APT27的駭客組織，表明他們為了抗議美國眾議院議長裴洛西訪臺，對臺灣的警政署、交通部公路總局、台電、總統府等單位發動攻擊，並宣稱他們還掌握6萬臺連網設備，若是臺灣政府再度挑釁，該組織會再出手。

事隔數日，，聲稱掌握連網設備的數量有20萬臺，並打算公布部分資訊系統的零時差漏洞，以及竊得的政府資料。隨後，該組織於今日凌晨，公布了、的部分原始碼。

但這個駭客組織，是否就是之前出現在資安新聞的中國駭客組織（又名TG-3390、Emissary Panda、Bronze Union）？從該組織的推特帳號在這個月才成立，，很有可能是不同的組織。

民視新聞臺在YouTube頻道的網路直播，在8月6日出現遭到竄改的情況，駭客放上了臺灣是中國一部分的恐嚇訊息，並聲稱兩岸統一是「民意」。對此，民視於7日發布聲明，指出駭客入侵了訊源主機，於是影響他們在YouTube播放的內容。該公司於6日晚間8時52分察覺有異，於8時54分移除遭到竄改的影片。

臺灣大學的教務處、研發處網頁於8月7日晚間遭到入侵，學生發現網站的圖片，全部被換上「世界上只有一個中國」的恐嚇訊息，並引起廣泛的討論。對此臺灣大學坦言確有此事，並關閉網頁並予以修復，待完成後才會重新上線。

網頁設計一頭霧水該從何著手呢?

當全世界的人們隨著網路時代而改變向上時您還停留在『網站美醜不重要』的舊有思維嗎？機會是留給努力改變現況的人們，別再浪費一分一秒可以接觸商機的寶貴時間！

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢

台北網頁設計公司這麼多該如何選擇?

網動是一群專業、熱情、向前行的工作團隊,我們擁有靈活的組織與溝通的能力,能傾聽客戶聲音,激發創意的火花,呈現完美的作品

資安業者Netskope指出，從今年年初開始到現在，駭客利用Google Sites與Azure Web App來架設釣魚網站，企圖騙取Coinbase、MetaMask、Kraken，以及Gemini用戶的加密貨幣錢包或帳戶，他們一開始利用其他網站、部落格的留言，來散播上述釣魚網站的URL，駭客也濫用Google搜尋的SEO技術，讓受害者在搜尋結果中，就看到設置於Google Sites的釣魚網站。

駭客架設與上述加密貨幣業者極為相似的釣魚網站，一旦使用者依照指示登錄系統，就會被帶往另一個建置於Azure Web App的網站，要求輸入帳密或通關密語，並進行側錄。研究人員指出，由於這些網站架設於雲端服務上，一般資安系統可能會將其視為合法而不會封鎖，他們呼籲使用者要提高警覺。

中國網路公司奇虎360旗下的360網路實驗室（360 Netlab）指出，他們針對名為Orchard的殭屍網路進行長期追蹤，結果發現，與許多殭屍網路相同的是，Orchard使用網域產生演算法（DGA），來產生與C2連線的網域名稱，並用來在受害電腦部署各式惡意軟體，以及挖取門羅幣。但Orchard在DGA產生網域名稱的做法上可說是非常罕見，駭客利用了比特幣創始人中本聰的錢包，並以此人持有的比特幣金額資訊來產生部分網域名稱。

研究人員指出，比特幣交易的不確定性很高，使得利用這種DGA演算法產生的網域名稱不易推測，資安人員也難以追蹤此殭屍網路的源頭。

資安業者Malwarebytes研究員Hossein Jazi指出，近期北韓駭客組織Lazarus鎖定金融科技產業，假冒大型加密貨幣交易平臺Coinbase，以徵才的名義寄送釣魚郵件，一旦受害者開啟附件，電腦就會被植入惡意軟體，此惡意軟體會透過架設於GitHub的C2中繼站來接收指令。

Lazarus假冒大型企業徵才來發動攻擊已非首例，他們之前曾冒用美國潛艦製造商General Dynamics Electric Boat、太空科技製造商Lockheed Martin的名義發動攻擊。

英國在Boris Johnson辭去首相後，Liz Truss和Rishi Sunak正在角逐繼任者，保守黨將於近期投票選出。但根據BBC、衛報的報導，該黨收到了英國國家網路安全中心（NCSC）的警告，可能會有駭客從中竄改選票影響選舉，決定強化投票流程的資安，而延後選票寄送的時間。本次保守黨將採用第一階段投票結果，於9月5日選出下任首相。

資安業者AhnLab與ReversingLabs近日揭露名為GwisinLocker的勒索軟體，不約而同指出，駭客專門鎖定南韓的工業與製藥公司，且相當熟悉該國的環境，並在勒索訊息裡恐嚇受害者，不准通報南韓警方（如南韓國家警察廳、首爾國家警察廳），且使用韓文字元與符號等特徵，研究人員認為，相關攻擊行動很可能是北韓駭客所為。

AhnLab指出，Windows版勒索軟體與Magniber存在共通之處，都是透過MSI檔案封裝攻擊工具，但不同的是GwisinLocker需要下達特定的參數才會執行，而難以被沙箱觸發攻擊行為。ReversingLabs則是發現此勒索軟體的Linux版，不只能加密Linux主機檔案，還可以攻擊虛擬化平臺VMware ESXi。

阿爾巴尼亞政府於7月中旬因網路攻擊，被迫關閉部分網路服務。根據資安業者Mandiant的調查，駭客使用勒索軟體Roadsweep、後門程式Chimneysweep發動攻擊，並使用名為HomeLand Justice的Telegram頻道進行溝通。研究人員指出，雖然這些駭客企圖營造自己是不滿政府的阿爾巴尼亞人的假象，但根據他們的分析，駭客的身分應該是伊朗的恐怖組織聖戰者（MEK）。

此起攻擊行動很可能與伊朗自由會議有關，此會議原定在7月23日至24日於阿爾巴尼亞舉行，且會有反對伊朗政府的組織參與，阿爾巴尼亞政府以遭到恐怖組織攻擊的威脅為由，在22日緊急宣布延期。

 

【漏洞與修補】

微軟於8月9日發布每月例行修補（Patch Tuesday）公告，當中總共提出了121個漏洞的緩解措施。其中最受到關注的是被稱做DogWalk的零時差漏洞CVE-2022-34713，這項漏洞最早是研究人員Imre Rad於2020年1月通報，但當時微軟認為並非資安漏洞決定不予處理，直到微軟列管MSDT漏洞Follina之後，，此漏洞才重新受到關切。

本次公告還有另一個零時差漏洞CVE-2022-30134，這是Exchange的資訊洩漏漏洞，微軟表示尚未發現遭到利用。

思科於8月3日發布資安通告，他們近期修補中小企業RV產品線路由器的漏洞CVE-2022-20827、CVE-2022-20841，以及CVE-2022-20842，這些漏洞一旦遭到利用，攻擊者可能得以執行任意程式碼、發動阻斷服務攻擊，CVSS風險評分為8.0至9.8分。由於沒有其他緩解漏洞風險的方法，該公司呼籲用戶應儘速部署新版軟體。

資安業者Palo Alto Networks於8月11日發布資安通告，指出防火牆作業系統PAN-OS存在CVE-2022-0028漏洞，他們獲報有人將其嘗試用於發動反射式阻斷服務（Reflected Denial-of-Service，RDoS）攻擊。此漏洞與PAN-OS的URL過濾政策組態不當有關，一旦攻擊者利用該漏洞，就有可能製造及放大TCP流量，發動DoS攻擊，CVSS風險評分為8.6分。

該公司指出，此漏洞影響實體設備、虛擬設備、容器版本防火牆，他們已針對PAN-OS 10.1發布更新軟體，其他版本的修補軟體預計將於下週推出。

IBM於8月8日針對旗下的雲端資料分析平臺Netezza for Cloud Pak for Data、語音閘道系統Voice Gateway、資安系統Security SiteProtector發布資安通告，並發布新版程式修補漏洞。

其中，該公司針對Netezza for Cloud Pak for Data公告3項漏洞，它們皆與Go語言的阻斷服務（DoS）弱點有關，有兩個漏洞的CVSS評分達到了7.5分。本次修補的Voice Gateway漏洞共有5個，皆與Node.js元件相關；Security SiteProtector則有6個漏洞，這些漏洞會影響系統裡的Apache HTTP伺服器元件。

安全與應用程式交付解決方案業者F5於8月3日，發布每季資安通告，修補BIG-IP等產品共21個漏洞，其中有11個為高風險漏洞、8個為中等風險漏洞。這些漏洞有超過半數能在攻擊者沒有身分驗證的情況下利用，而其中有部分與該公司的Traffic Management Microkernel（TMM）有關。

協作平臺Slack於8月4日發布資安業者，指出他們的系統出現漏洞，有可能會將使用者的加鹽密碼傳送給工作空間的其他成員，估計有0.5%用戶受到影響。這些使用者曾在4月17日至7月17日之間，建立、撤銷共用邀請的連結，而可能曝險，雖然所有用戶端程式都無法直接檢視上述提及的加鹽密碼，但為保險起見，Slack還是重設了這些用戶的密碼。

AWS、德國亥姆霍玆資安中心（CISPA）、羅馬大學、格拉茨科技大學的研究人員聯手，揭露名為ÆPIC Leak處理器架構漏洞CVE-2022-21233，該漏洞與處理器的進階可程式化中斷控制器（APIC）元件有關，存在於Intel第10代至12代Core處理器，攻擊者透過APIC MMIO未定義範圍的中斷請求，有機會從快取竊得敏感資料。此漏洞對於仰賴Intel SGX保護的應用程式造成重大風險，對於一般使用者的影響較為有限。

Intel於8月9日發布資安通告，指出主要波及的是第3代Xeon Scalable處理器（Ice Lake-SP），並提出緩解措施。

格拉茨科技大學、喬治亞理工學院、資安研究所Lamarr的研究人員聯手，公布名為SQUIP（Scheduler Queue Usage via Interference Probing）的處理器攻擊手法，影響採用 Zen 1、Zen 2、Zen 3微架構、同步多執行緒（SMT）的AMD Ryzen處理器，一旦攻擊者運用該漏洞，有可能取得完整的RSA-4096加密金鑰。

AMD於去年12月獲報後，將上述處理器弱點登記為CVE-2021-46778列管，評估此漏洞具備中等風險，並於今年8月9日發布資安通告，公布受影響的處理器型號。

雲端服務業者Cloudflare去年推出測試版的Email Routing服務，並邀請少數人員試用。有名丹麥的學生Albert Pedersen，他並未取得試用資格，但試圖通過Cloudflare伺服器的驗證加入試用行列，並發現相關漏洞，於去年12月7日從HackerOne進行通報，Cloudflare於2天後完成修補，並提供3千美元獎金，但近期該公司決定將獎金增加至6千美元。

 

【資安產業動態】

AWS與Splunk等18家IT業者與資安業者，於8月10日聯手於2022美國黑帽大會（Black Hat USA 2022）上，發表開放網路安全概要框架（Open Cybersecurity Schema Framework，OCSF），此專案將提供資安事件描述的標準規格，並提供相關的支援工具，目的是讓資安團隊能更加集中資源在分析及調查網路攻擊，而免於耗費大量心力在不同資安系統的資料互通與標準化。

數位發展部候任政務次長兼發言人李懷仁於8月11日，透露數位發展部的籌備重點，包括下轄的6司2署職責，其中，資安署要推動國家資安防護演練事務。李懷仁預告，數發部將於今年底前成立國家資安研究院，搭配數位政府司和資安署，來定期檢核政府資安韌性。

 

【其他資安新聞】

https//www.ithome.com.tw/news/152490

自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

網站的第一印象網頁設計，決定了客戶是否繼續瀏覽的意願。台北網動廣告製作的RWD網頁設計，採用精簡與質感的CSS語法，提升企業的專業形象與簡約舒適的瀏覽體驗，讓瀏覽者第一眼就愛上它。

廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

有別於一般網頁架設公司，除了模組化的架站軟體，我們的營業主軸還包含：資料庫程式開發、網站建置、網頁設計、電子商務專案開發、系統整合、APP設計建置、專業網路行銷。

網頁設計一頭霧水該從何著手呢?

當全世界的人們隨著網路時代而改變向上時您還停留在『網站美醜不重要』的舊有思維嗎？機會是留給努力改變現況的人們，別再浪費一分一秒可以接觸商機的寶貴時間！