在發布每月例行更新(Patch Tuesday)之前,微軟往往還會修補不少資安漏洞,這些漏洞有許多出現在該公司的雲端服務,但並未被列在每月例行更新的資安公告,雖然它們是個別公告的漏洞,仍因爲情節嚴重,吸引資安業者注意,而發出警示,以這個月而言,就有一個出現在Azure Networking的權限提升漏洞,風險值達到10分滿分,使得資安業者Rapid7特別提出警告,並指出用戶可能在遷移雲端資產的過程會需要特別留意。
本週消費性電子設備最受到關注的新品,莫過於蘋果新一代iPhone的發表,在相關的功能改進,以及機型規格的調整之餘,他們也透露這次導入記憶體防護強化機制Memory Integrity Enforcement,目的是對抗日益猖獗的間諜軟體攻擊。
【攻擊與威脅】
中美貿易談判前夕傳出APT41試圖探聽敵情,假冒美國議員從事網釣攻擊
今年美國與中國對於關稅問題先後在日內瓦、倫敦、斯德哥爾摩進行多次談判,如今傳出在第3次談判的前夕,中國疑似藉由APT駭客監視相關人士,企圖掌握美國政府政策制訂環節當中的敏感資訊。
資安新聞網站SecurityWeek引述華爾街日報的報導指出,美國和中國即將於瑞典舉行會議的前幾天,美國政府機關、律師事務所、與貿易有關的團體,都收到冒名美國眾議員寄送的電子郵件,要求收信人對於中國制裁的草案提供意見,然而,若收信人依照指示開啟附件,電腦就有可能被植入間諜軟體。
這封有問題的電子郵件,假冒的寄件者是美國眾議員John Moolenaar,但因為寄件人的電子郵件信箱並非美國政府所有,而被察覺有異。駭客挾帶了看似立法草案的資料,但實際上內含惡意軟體,經分析與中國駭客APT41有關。
其他攻擊與威脅
◆物聯網裝置、MikroTik路由器遭綁架,發動1.5 Bpps大規模DDoS攻擊
◆針對近期的資安事故,英國車廠Jaguar Land Rover證實部分資料外洩
◆RAT木馬ZynorRAT、後門程式ChillyHell鎖定Windows、Linux、macOS電腦而來
【漏洞與修補】
微軟在9月例行更新(Patch Tuesday)當中,一共公布及修補86個資安漏洞,其中包含81個新登記CVE編號的漏洞,以及5個出現在微軟產品採用的第三方元件漏洞。長期分析微軟每月例行更新的資安業者Rapid7在本次對於9月例行更新的觀察當中指出,這次其實微軟總共修補了176個漏洞,其中很大一部分,與雲端服務有關,其中最危險的資安漏洞,更達到CVSS評分10分的危險程度。
這項風險值滿分的資安漏洞是CVE-2025-54914,出現在Azure Networking,可被用於權限提升,為存取控制不當的弱點(CWE-284),並指出該漏洞CVSS評分達到10分,相當危險。微軟強調,使用者無須採用行動,他們記錄這個漏洞的主要目的,就是提供後續追蹤的透明度。
從CVSS評分來看,另一個接近滿分的資安漏洞CVE-2025-55232,也相當值得留意。此為遠端程式碼執行(RCE)漏洞,出現在Azure高效能運算(High Performance Compute,HPC)套件,CVSS風險評為9.8。此為不受信任資料的反序列化處理過程出現,未經驗證的攻擊者可透過網路環境執行任意程式碼。
TP-Link路由器曝CWMP漏洞,影響Archer AX10與AX1500機型
資安公司ByteRay技術長Mehrun Parchebafieh發文揭露,TP-Link在其路由器的CWMP/TR-069通訊協定實作當中,存在堆疊式緩衝區溢位漏洞CVE-2025-9961,影響包括Archer AX10與AX1500等機型。研究人員透過自動化汙點分析工具發現漏洞,於5月11日通報TP-Link,並在9月1日公開漏洞細節,而TP-Link則趕緊在9月5日釋出完整修補程式。
該漏洞問題出在路由器處理CWMP的SetParameterValues訊息時,相關函式直接將使用者輸入的長度參數套用至strncpy函式,卻僅配置3,072位元組的堆疊緩衝區,且缺乏邊界檢查。研究人員使用GenieACS伺服器發送惡意SOAP負載驗證漏洞,超過4,096位元組的輸入即可造成服務崩潰,而約3,112位元組的資料則足以覆寫程式計數器,證明攻擊者能夠控制執行流程。
實際受影響的裝置包含Archer AX10多個硬體版本與對應韌體版本,AX1500因共用相同的CWMP執行檔也受到影響。研究者以FOFA搜尋引擎檢索,有超過4,200個對外公開的IP位址疑似曝險。
【資安產業動態】
9月8日資安服務業者中華資安以每股238元的價格正式掛牌,股票代號為7765,成為國內第一家上市的資安業者,董事長陳明仕帶領經營團隊出席上市掛牌典禮。根據他們8月13日上市前業績發表會公布的資料,今年上半營收為新臺幣9.8億元,年增14%,稅後每股盈餘達6.01元,年增12%。
回顧過去,聚焦資安服務的臺灣廠商上市櫃的情況如何?全國第一家上櫃的資安業者是安碁資訊,該公司在2019年通過櫃買中心上櫃董事會審議,為首家以資安服務代管業者(Managed Security Service Provider,MSSP)上櫃的資安公司。
iPhone 17系列搭載全新MIE,預設啟用更強健的記憶體安全防護
蘋果透露在近日發表的智慧型手機iPhone 17系列與iPhone Air當中,導入了記憶體完整性強制保護機制(Memory Integrity Enforcement,MIE),MIE結合處理器A19與A19 Pro的硬體能力與作業系統安全設計,作為全時預設的記憶體安全防護,覆蓋關鍵攻擊面,包括系統核心與超過70個使用者空間程序(Userland Processes),目標是降低記憶體破壞漏洞被利用的可能性,特別是緩衝區溢位與釋放後使用(Use-after-free)。該公司號稱,此為消費型作業系統歷來最重大的記憶體安全升級。
MIE的基礎來自蘋果近年推行的型別安全分配器(Allocator),包括核心的kalloc_type、使用者層的xzone malloc,以及WebKit的libpas。這些分配器會依照型別資訊決定記憶體配置方式,降低攻擊者藉由精準控制配置位置,來製造漏洞利用的機會。不過,分配器在頁面層級能提供的保護仍有限,因此該公司進一步引入Enhanced Memory Tagging Extension(EMTE),透過標籤檢查將防護細緻到單一配置的層次。
Signal安卓版安全備份功能進入測試階段,支援加密與付費擴充
隱私傳訊軟體Signal在安卓測試版推出安全備份(Secure Backups)功能,讓使用者能在手機遺失或損毀時保留訊息紀錄。該功能採自願啟用與端對端加密,會以每日自動更新的方式建立備份檔。
免費方案可備份最近45天的媒體以及上限100 MiB的訊息本文,選擇每月1.99美元的付費訂閱,則可備份超過45天的媒體歷史,且備份容量上限為100 GB。官方表示,這是Signal第一次引入收費機制,理由在於媒體檔案儲存與傳輸成本高昂,作為不依賴廣告與資料變現的非營利組織,Signal必須以不同的方式分攤支出。
目前安全備份僅限安卓測試版的使用者,後續將逐步開放至iOS與電腦版。啟用功能後,系統每天會自動生成新的加密備份,並覆蓋前一日版本,只有持有復原金鑰的使用者本人能解密,訊息還原時將排除單次檢視訊息,與未來24小時內即將消失的訊息。
近期資安日報
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
2025-12-04