零時差漏洞

在這一星期的漏洞新聞中，HTTP非同步傳輸框架Aiohttp於1月修補的漏洞遭利用的消息，需要特別留意；在重大資安新聞方面，以國際貨幣基金組織與富士通的遭駭最受關注，還有最新攻擊手法揭露，包括新型DoS攻擊手法Loop DoS、GoFetch微架構旁路攻擊

這星期有多家廠商發布每月例行安全更新修補，包括微軟、Adobe、SAP、西門子、施耐德電機等公司，以及WordPress有多個外掛程式漏洞遭利用需重視；在資安威脅焦點方面，勒索軟體與BEC詐騙蟬聯2023年企業最大風險與挑戰，美國FBI公布接獲2,825件勒索軟體攻擊事故，且BEC詐騙造成的損失持續增加，高達29億美元

這一星期有兩大漏洞利用消息狀況需要重視，都與微軟有關；在資安威脅焦點方面，國內又有上市公司遭遇資安事件，包括昶昕遭駭客網路攻擊，以及傳出中華電信內部資料在暗網被兜售

本星期國內上市公司建準發布資安事件重大訊息，已是今年第7起；受矚目的資安新聞焦點，包括LockBit勒索軟體組織的伺服器在多國執法單位聯手之下被攻破，解密工具已釋出讓受害者可以自救，以及中國資安業者傳出資料外洩，意外曝露該國政府對全球發動的網路間諜行動

由趨勢ZDI通報微軟修補的零時差漏洞CVE-2024-21412，已有國家駭客組織藉此攻擊金融交易平臺，在用戶裝置內植入木馬程式

這一星期以Ivanti零時差漏洞遭成功利用的消息最受關注，還有Jenkins、Better Search Replace、蘋果日前才修補漏洞已被駭客鎖定利用；在威脅焦點方面，主要有微軟持續揭露公司電子郵件遭入侵的更多細節，以及國際間有施耐德電機與Lush遭勒索軟體攻擊的事故

這一星期國內有三家上市公司發布資安事件重大訊息，首先16日、17日，京鼎、恩德相繼公告遭駭客網路攻擊，19日再有柏文公告「健身工廠」會員個資遭竊；還有涉及GPU與UEFI的漏洞公開揭露，修補狀況有待追蹤

向Ivanti通報CVE-2023-46805與CVE-2024-21887零時差漏洞的資安業者Volexity指出，隨著1月10日Ivanti公告漏洞資訊之後便開始出現廣泛的攻擊行動，截至1月14日Volexity在全球1,700個受影響的Ivanti Connect Secure（ICS）VPN裝置中發現入侵跡象