漏洞修補

在11月第一周資安新聞中，OpenSSL兩個高風險漏洞的修補最受關注，開發人員也要注意應用程式相依關係；Dropbox揭露員工被網釣成功，因為駭客騙取帳密也騙取硬體OTP產生器的驗證碼

在10月最後一周資安新聞中，我國戶政資料在駭客論壇上被兜售的消息最受各界關注；近期駭客組織攻擊行動鎖定更多已知漏洞來入侵，包括技嘉、思科、Linux、Zimbra、蘋果、以及近期的Apache Commons Text重大漏洞。而幾個月前揭露、尚未修補的微軟MoTW漏洞，如今也被研究人員發現有駭客開始鎖定利用

Fortinet新修補漏洞已有多起攻擊，同時，該公司先通知特定用戶更新緩解，卻消息外傳引關注。更值得關注的是，近日Shadowserver基金會發布報告，指出有逾1萬7千臺Fortinet設備暴露於網路且應該要修補

本週傳出針對微軟Exchange伺服器、Zimbra與Fortinet零時差漏洞入侵的攻擊活動消息，再者，Brute Ratel C4破解版的散布，Alchimist中文攻擊框架的揭露，以及Caffeine網釣攻擊套件租賃服務的消息亦成焦點

疑中國駭客集團鎖定微軟Exchange伺服器新零時差漏洞發動攻擊，微軟緊急提供緩解方法；最近有多家業者揭露的網路攻擊事件，是與透過社交工程手法夾帶LNK檔散布惡意軟體有關

在8月中旬有許多資安漏洞細節揭露的消息，主要是先前舉行的美國黑帽大會與Def Con 30大會，加上國內HITCON 2022大會，因此有許多資安研究人員將近期發現、廠商已修補的漏洞，公開漏洞研究經驗與細節

工控資安業者Dragos在7月14日揭露，近年來有人透過社群網站宣傳或張貼廣告訊息，聲稱提供包含15家業者PLC或HMI的密碼破解器，據研究人員進一步分析，指出這類工具是利用漏洞獲取密碼，同時還暗藏惡意程式

在本月微軟安全性更新中，修補一個已遭成功利用的CVE-2022-22047零時差漏洞，Windows Server Service的CVE-2022-30216竄改漏洞被利用可能性亦高，還有4個重大等級的RCE漏洞，以及2個AMD硬體漏洞