台灣資安新聞彙整 2022.07.25 - 07.31

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

7/25

Google Chrome 被間諜工具開採的漏洞也影響 Safari、Edge

Google 7月初修補 Chrome 的一項零時差攻擊漏洞，事實上也影響 Safari 及微軟 Edge 瀏覽器。遭到開採的 CVE-2022-2294 為位於 WebRTC 堆積緩衝區溢位漏洞，可讓攻擊者設計惡意網頁內容，以待用戶瀏覽器造訪後，在用戶裝置上執行任意程式碼。

https://www.ithome.com.tw/news/152097

7/26

醫療產業遭受的勒索軟體攻擊成倍增加

資安公司 Sophos 宣布，與 2021 年相比，對醫療產業的攻擊增加了 94%。在醫療機構中，66% 的人回答說他們經歷過勒索軟體攻擊。61% 被攻擊的醫療機構支付了贖金，但只有 2% 能取回資料。

https://www.itmedia.co.jp/news/articles/2207/26/news183.html

美國連鎖便利商店以 800 萬美元和解資料外洩事件

美國連鎖便利商店 Wawa Inc 同意針對 2019 年發生的資料外洩事件，支付 800 萬美元和解金額。該事件影響到在其便利商店和加油站使用的約 3400 萬張支付卡。資料在 2019 年 4 月和 12 月期間因駭客的惡意軟體而外洩。

https://www.reuters.com/legal/litigation/wawa-pay-8-mln-data-breach-settlement-with-state-ags-2022-07-26/

7/27

科技部改制新國科會，今正式揭牌營運

由科技部改制的新國科會，並納入行政院科技會報辦公室，未來扮演行政院科技幕僚及跨部會協調角色，負責擘畫我國的科技政策、支援基礎科學研究、完善科學園區發展、推動創新創業。

https://www.ithome.com.tw/news/152145

7/28

AWS 開放免費下訂實體安全金鑰，目前限美國帳號 Root User 用戶

為了促進 AWS 用戶採用 MFA（多重要素驗證），Amazon 宣布將提供美國 Amazon Web Services (AWS) 帳號用戶，可免費下訂取得實體安全金鑰（Security Key），以如此公開的形式提供給企業用戶，這是雲端服務業者首見的創舉，期望幫助用戶對於預防網釣或帳密竊盜威脅。

https://www.ithome.com.tw/news/152150

GitHub 釋出 NPM 2FA 及安全驗證相關改良功能

GitHub 為了實現 2023 年底全面實施雙因素驗證（2FA），強化 npm 身分驗證機制，包括簡化以 npm CLI 登入和發布、連結 GitHub 和 Twitter 帳號到 npm，重新簽發 npm 所有套件，並增加稽核套件完整性的新 npm CLI 指令。

https://www.ithome.com.tw/news/152162

7/29

駭客透過惡意的 Chrome 瀏覽器擴充功能監視 Email 帳戶

與北韓結盟的駭客在基於 Chromium 的瀏覽器上部署了一個惡意的擴充功能。據研究人員稱，這個名為 Sharpext 的惡意擴充功能可以在受害者瀏覽 Email 時直接檢視並外洩資訊。

https://thehackernews.com/2022/07/north-korean-hackers-using-malicious.html

美國安全局警告 Atlassian Confluence 憑證漏洞被利用進行攻擊

美國網路安全和基礎設施安全局（CISA）將 Atlassian 的安全漏洞添加到其已知的已利用漏洞目錄中。該漏洞為 CVE-2022-26138，可以讓遠端未認證的攻擊者能夠使用這些憑證登入 Confluence 並存取所有使用者可存取的內容。

https://thehackernews.com/2022/07/cisa-warns-of-atlassian-confluence-hard.html