新OWASP十大網站安全風險出爐

政府和資安業者都會關注OWASP（The Open Web Application Security Project ，開放網站應用程式安全專案）歸納出的十大網路資安風險（OWASP Top 10），原本今年4月推出一套Top 10風險候選版，但遭社群推翻，並於9月重新徵詢社群意見後，於11月20日推出2017年OWASP Top 10正式版。

OWASP臺灣分會研發長胡辰澔表示，實際調查會員貢獻的10萬筆應用程式Log登錄檔和API的資料集，再經社群討論後，才產生新版Top10排名。（詳全文）

Visual Studio Live Share可多人同時寫程式

圖片來源／微軟

最近微軟發表Visual Studio Live Share，讓Visual Studio 2017與Visual Studio Code的開發人員能夠即時協作、共同撰寫程式，近期便會邁入封閉預覽階段。

Visual Studio Live Share讓開發團隊能夠在同樣的程式碼集（codebase）裡快速協作，不需要個別配置同樣的開發工具、設定或環境，也不必同步程式碼。（詳全文）

微軟修補藏了17年的Office漏洞

圖片來源／Embedi

近期微軟於每月例行性更新中修補了53個安全漏洞，其中有20個屬於重大（critical）漏洞，特別的是，微軟此次修補了Office中一個已存在17年的安全漏洞CVE-2017-11882。

CVE-2017-11882雖可招致任意程式攻擊，但只被微軟列為重要（Important）漏洞。據微軟說明，CVE-2017-11882是個記憶體毀損漏洞，主要是Office未能妥善處理記憶體中的物件，若使用者以管理員權限登入，駭客就能接管整個系統，繼之安裝程式、變更或刪除檔案，也能建立具備完整使用者權限的新帳號。（詳全文）

美國公布北韓國家駭客作案IP，也有近2百個臺灣IP

聯邦調查局與美國國土安全部自六月開始，陸續揭露北韓政府的國家駭客組織「Hidden Cobra」，近日更進一步公布其所使用的遠端遙控工具與木馬程式，並公開攻擊行動所利用的IP網址，其中包含臺灣的2個固定IP位址與169個動態IP位址。

6月開始，美國電腦緊急應變中心（US-CERT）陸續公布國土安全部與聯邦調查局針對北韓駭客攻擊的調查結果，指出Hidden Cobra就是北韓政府所支持的國家駭客組織，而他們所說的Hidden Cobra，其實與其他資安公司所稱的北韓駭客組織Lazarus，是同一個團體。（詳全文）

萬事達卡以區塊鏈打造的即時支付技術專利曝光

圖片來源／Mastercard

美國專利暨商標辦公室（U.S. Patent and Trademark Office，USPTO）近日公布信用卡發卡組織萬事達卡（MasterCard）所申請的區塊鏈的技術專利，專利名稱為「採用紀錄保證的即時支付方法與系統」。

MasterCard積極參與新興的區塊鏈技術，該組織所打造的區塊鏈技術已被應用在B2B領域，以解決跨國交易的速度、透明化及成本問題；在去年藉由Start Path Global專案來扶植區塊鏈技術、以用來追蹤及保護鑽石等高價商品的新創公司Everledger；並已加入企業以太坊聯盟（Enterprise Ethereum Alliance，EEA）。（詳全文）

本土首家純虛擬貨幣交換平臺誕生

圖片來源／TMDEX

在臺灣，若想進行虛擬貨幣間的轉換，可能要透過國外的交易平臺，知名的如：Poloniex、Bittrex等。或是以臉書、Line群組掛出想賣的價格跟數量，私下交易。

但私下交易並不是一個良好的解決方案。而國外交易所Poloniex也出現了比特幣入金、提幣速度緩慢的問題，用戶等候超過一天，或是註冊開戶要等超過1個月的事件。在10月24日正式上線運作的「天馬TMDEX」就是想填補臺灣現在的交易平臺空缺。（詳全文）