| iThome

繼駭客不斷透過NPM、PyPI、GitHub上架惡意套件，近期爆紅的Clawdbot（現更名為OpenClaw）也無法倖免，資安社群平臺Open Source Malware與資安公司Koi Security發現，有人藉由延伸套件市集ClawHub散布竊資軟體

Deno向美國專利商標局請願撤銷甲骨文對JavaScript商標的所有權，指出該名稱已成為全球通用技術名稱，且甲骨文多年未有效使用商標，此舉獲技術社群廣泛支持，JavaScript創造者Brendan Eich也加入連署

2024-11-28

針對10月上旬公布的Firefox零時差漏洞CVE-2024-9680，本週研究人員公布相關細節，並提及攻擊者同時運用另一個未被揭露的Windows漏洞CVE-2024-49039，而能在沒有使用者互動的情況下，於受害電腦植入後門程式

2024-11-27

上週PHP開發團隊發布安全性更新，其中修補重大層級的越界寫入漏洞CVE-2024-8932最為危險，而受到關注

2024-11-27

利用Line Beacon和Line購物等第一方數據與Open Point等第三方數據，支援Line Ad Platform廣告精準投放

2024-11-27

日本三菱日聯金融集團（MUFG）和日本大型電信業者KDDI宣布了一項長達三年的生成式AI合作計畫，包括要運用KDDI開發的LLM，打造金融業專屬的LLM。MUFG未來除了要運用這個金融專屬LLM發展金融業的應用，更計畫在2026年對其他金融業者推出模型服務。

2024-11-27

美國網路安全暨基礎設施安全局（CISA）於週一，將安瑞科技（Array Networks）SSL VPN系統漏洞CVE-2023-28461列入已遭利用漏洞（KEV）清單，巧合的是，這份公告發布之前，有資安業者揭露的攻擊行動裡，駭客正好就利用了這項漏洞

2024-11-27

Interpol及Afripol公布新一波網路犯罪查緝成果，於19個非洲國家逮捕了1,006名涉及網路犯罪的嫌犯，摧毀了134,089個惡意基礎設施及網路

2024-11-27

一群被OpenAI邀請來測試文字轉影片AI模型Sora的藝術家，因為認為自己被OpenAI免費用來行銷Sora，而在Hugging Face上釋出了Sora的存取權限

2024-11-27

針對資安業者Sekoia揭露的勒索軟體Hellodown攻擊行動，兆勤證實駭客利用了防火牆漏洞CVE-2024-42057，而有機會在未經身分驗證的情況下，觸發漏洞進行後續攻擊行動

2024-11-27

根據趨勢科技調查，駭客組織Earth Kasha以後門程式攻擊多家品牌SSL VPN設備，已有臺灣、日本及印度等地企業受害

2024-11-27

透過Gemini新增的Spotify專用外掛程式，Android用戶可以口說或文字提示，要求Gemini搜尋Spotify平臺上的歌曲並播放音樂

2024-11-27

10月上旬公布的Firefox零時差漏洞CVE-2024-9680，資安業者ESET這幾天揭露此事之餘，也提到俄羅斯駭客RomCom將其與另一個漏洞CVE-2024-49039串連，從而能在無須使用者互動的狀態下，於受害電腦部署後門程式

2024-11-27