資安

網上出現由微軟Windows硬體開發人員計畫認證，具有合法簽章的惡意驅動程式，會試圖關閉節點偵測和回應（EDR）代理

開源開發人員可在專案使用OSV-Scanner，透過比對相依項目和OSV漏洞資料庫，找出專案相依項目中所存在的漏洞

Citrix ADC的零時差漏洞傳出被中國駭客用於攻擊行動；殭屍網路GoTrim針對WordPress網站發動攻擊，企圖竊取管理員帳號來進行控制

本月有兩大漏洞方面議題值得關注，包括要掌握近期駭客組織在實際攻擊行動所針對的已知漏洞的清單，還有為了改善記憶體漏洞的問題，最近越來越多從層式語言層級來探討。另外，近期一則駭客投放Google廣告，散布假冒家樂福網站的事件，再次讓這種多年來持續發生的威脅狀況受到關注

安全廠商Lightspin在ECR Public Gallery的主要JavaScript檔案中，發現一組未記載但有效的API actions，可讓攻擊者刪除其他AWS帳號名下的ECR映像檔，或上傳、新增惡意映像檔，進而發動阻斷服務等攻擊

Meta在GitHub上開源了匿名憑證服務（Anonymous Credential Service，ACS），能夠以去識別化的方式驗證使用者身分

原本受到Galileo以及Athenian專案保護的非營利組織與公益團體，現在可以免費使用Cloudflare零信任安全解決方案，抵禦網路釣魚等攻擊

最新Chrome M108穩定版將支援Windows 11、macOS和Android用戶，以無密碼登入技術「通行密鑰（Passkey）」登入支援的網站或App