資安

星輿實驗室（Star-V Lab）披露本田汽車（Honda）的遠端無鑰匙進入系統（RKE）藏有安全漏洞，並對外展示已藉此成功解鎖10種本田車型的車門

勒索軟體駭客近期在發動攻擊的手法上出現顯著變化：開發BlackCat的駭客針對不願支付贖金的受害組織，打造了Alphv Collections資料庫；而勒索軟體HavanaCrypt則是運用了開源密碼管理器KeePass Password Safe，來進行加密檔案的工作

針對預設封鎖Office 365的VBA巨集的安全政策，微軟表示正在進行調整，以改進可使用性，正式部署時程未定

駭客上傳惡意PyPI套件的情況越來越多，使得PyPI開始要求部分套件開發者使用雙因素驗證機制，但出現有人鑽漏洞的情況；自今年5月出現的勒索軟體0mega，駭客要脅要向合作夥伴告狀，迫使受害組織付贖金

經濟部與財政部在7月4日發布「公司或有限合夥事業投資智慧機械與第五代行動通訊系統及資通安全產品或服務抵減辦法」，新增資安投資抵稅3年優惠，並對資安產品與服務列出明確定義，經濟部表示，企業日後可至線上投資抵減申辦系統（https://www.idbtax.org.tw）申請

2022年下半才開始，上海公安資料庫爆發10億人個資外洩事件，OpenSSL 3.0最近修補一個RCE漏洞需應盡速因應，還有Jenkins公告34個外掛程式存在漏洞需留意修補動向。本周所揭露新的威脅態勢中，包括利用惡意NPM的軟體供應鏈情形，以及Hack-For-Hire的手法，還有勒索軟體RedAlert、Checkmarx等新動向

6月21日釋出的OpenSSL 3.0.4雖然解決了一個指令注入漏洞，不料卻引發新的遠端程式碼執行漏洞，OpenSSL維護組織在7月5日終於釋出3.0.5新版予以修補

面對快速變化、蔓延的網路威脅態勢，註定是一場永無止盡的戰爭，而長期處於各種資安攻擊的最前線的微軟更是如此，他們累積30年的實務經驗，或許能成為許多組織的借鏡