資安

現在微軟用戶可以在iOS和Android行動裝置上，使用外部硬體安全金鑰YubiKey上的Azure AD憑證，進行無密碼身分驗證

資安廠商提倡的零信任，多半聚焦網路安全或是使用者信任關係，但在智慧工廠領域是否足夠？工業技術研究院資通所經理陳柏渝表示，他們提出多層次零信任的構想，共有10個面向，同時並解析了4個層面的因應之道

雲端檔案存取服務業者Dropbox遭到網釣攻擊，駭客存取該公司所屬的130個GitHub儲存庫；Azure Cosmos資料庫出現身分驗證漏洞CosMiss，影響採用Jupyter Notebook元件的用戶

OpenSSL 3.0.7修補的CVE-2022-3602，是一個任意4位元組的堆疊溢位漏洞，原本OpenSSL專案判定這項漏洞很可能導致遠端程式攻擊，但正式修補時已調降了這項漏洞的嚴重性

研究人員發現Galaxy Store App在用戶存取包含深層連結（deeplink）的網站時，並未有效檢查深層連結，而讓攻擊者得以在Galaxy Store App的webview上執行惡意程式碼

微軟公布為Microsoft Authenticator App設計的新功能，能防止駭客透過MFA疲勞攻擊（MFA fatigue）成功登入用戶帳號

美國政府針對供應商提供如何強化軟體供應鏈安全的實踐指南，包括如何檢查軟體的安全性、保護程式碼、驗證軟體的完整性、開發安全的軟體，以及如何辨識、分析與緩解安全漏洞的指引

根據以色列資安情報機構Kela調查，第三季初始存取掮客（Initial Access Broker）於暗網中總計兜售超過570個網路的存取憑證，這些外洩憑證有半數來自於美國、巴西、英國、加拿大與印度地區