資安

勒索軟體駭客LockBit聲稱攻擊國防安全科技集團Thales，該公司正著手調查；數百個美國新聞網站被植入惡意軟體，起因是合作的影音內容製作公司遭駭

資安公司Phylum發現近期透過PyPI、所出版的29個Python套件含有惡意程式，會蒐集下載者在瀏覽器上所儲存的Cookie、密碼與憑證

現在微軟用戶可以在iOS和Android行動裝置上，使用外部硬體安全金鑰YubiKey上的Azure AD憑證，進行無密碼身分驗證

資安廠商提倡的零信任，多半聚焦網路安全或是使用者信任關係，但在智慧工廠領域是否足夠？工業技術研究院資通所經理陳柏渝表示，他們提出多層次零信任的構想，共有10個面向，同時並解析了4個層面的因應之道

雲端檔案存取服務業者Dropbox遭到網釣攻擊，駭客存取該公司所屬的130個GitHub儲存庫；Azure Cosmos資料庫出現身分驗證漏洞CosMiss，影響採用Jupyter Notebook元件的用戶

OpenSSL 3.0.7修補的CVE-2022-3602，是一個任意4位元組的堆疊溢位漏洞，原本OpenSSL專案判定這項漏洞很可能導致遠端程式攻擊，但正式修補時已調降了這項漏洞的嚴重性

研究人員發現Galaxy Store App在用戶存取包含深層連結（deeplink）的網站時，並未有效檢查深層連結，而讓攻擊者得以在Galaxy Store App的webview上執行惡意程式碼

微軟公布為Microsoft Authenticator App設計的新功能，能防止駭客透過MFA疲勞攻擊（MFA fatigue）成功登入用戶帳號