零時差漏洞

2024年首個零時差漏洞攻擊消息出現，有駭客鎖定Ivanti旗下VPN與網路安全存取產品發動零時差漏洞攻擊，還要注意多個已知漏洞開始有駭客鎖定利用，以及注意修補近期微軟等公司發布的每月例行安全更新；在威脅態勢上，X社群平臺的企業組織帳號遭駭事件有擴大跡象，以及新型態的SMTP Smuggling攻擊手法的揭露

去年底駭客利用Ivanti Connect Secure的兩個零時差漏洞，入侵資安業者Volexity的客戶網路而導致漏洞曝光，對此Ivanti在1月10日發布安全公告提供緩解措施，並指出網路存取控制解決方案Ivanti Policy Secure也受漏洞影響

2023最後一星期的漏洞消息，以Barracuda、Apache基金會旗下ERP系統OFBiz，以及Ubuntu的漏洞修補受關注；在威脅焦點方面，這段期間影響最大的議題，涵蓋SSH遠端登入安全、鎖定線上訂房服務與飯店業的網路攻擊，以及電腦遊戲公司先前遭駭的消息

卡巴斯基試圖釐清駭客如何串連4個蘋果零時差漏洞，發動以iOS裝置為目標的攻擊行動Operation Triangulation

本周Google威脅分析小組TAG發現一個已遭到利用的零時差漏洞CVE-2023-7024，促使Google緊急更新桌面版Chrome

這一星期的漏洞消息，以Unitronics的PLC與HMI漏洞CVE-2023-6448最受關注，同時還有微軟、Adobe等多家每月例行安全更新釋出要留意；近期地下論壇不時傳出有不明人士兜售我國政府、企業資料的消息，很可能是針對我國即將舉行的2024總統大選而來

本星期有多個新型漏洞研究的公開揭露，相當值得關切，包括：涉及UEFI開機、韌體圖像解析器的LogoFAIL漏洞、AI模型資源平臺Hugging Face的API漏洞，以及針對藍牙技術底層漏洞的新型攻擊手法Bluffs

本星期有Google、蘋果修補零時差漏洞需重視，特別是存在於Skia繪圖引擎的漏洞又是涉及底層，影響範圍大。全球首份「安全AI系統開發指南」近日出爐，這份由美、英等國發布的AI系統開發指引，將讓開發者在安全設計、安全開發、安全部署及安全維運這4大階段，都能有有適當的安全措施可遵循