台灣資安新聞彙整 2022.12.05 - 12.11

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

12/5

FreeBSD 系統上出現重大 Ping 漏洞

FreeBSD 操作系統的維護團隊釋出更新，修補一個影響 ping 元件的安全漏洞 CVE-2022-23093。該問題影響了所有版本的 FreeBSD 作業系統，是與堆疊緩衝區溢位（stack-based buffer overflow）相關的漏洞。

https://thehackernews.com/2022/12/critical-ping-vulnerability-allows.html

12/6

1Password 公布無密碼單一登入瀏覽器工具，支援 Google、Facebook、GitHub

密碼管理服務 1Password 正式推出單一登入（SSO）瀏覽器外掛功能，讓 Chrome、Firefox、Edge 或 Brave 使用者能直接以 Google 或 Facebook 等帳密登入網站或應用程式。

https://www.ithome.com.tw/news/154568

12/7

72% 組織電腦系統仍含有 Log4Shell 漏洞

資安廠商 Tenable 近期發表研究報告指出，該公司掃瞄全球網路主機後發現，全球仍有高達 72% 的各型組織，其電腦系統仍含有約一年前發現的嚴重資安漏洞 Log4Shell（CVE-2021-44228）。

https://www.twcert.org.tw/tw/cp-104-6773-630a3-1.html

英國隱私監管機構公佈二十多起資安事件的詳細資訊

英國的數據保護監管機關 ICO 發佈了二十多起資料外洩事件的詳細資訊，並對過失單位予以譴責，但沒有處以罰鍰。

https://therecord.media/uk-privacy-watchdog-reveals-more-than-two-dozen-data-breach-incidents/

12/8

蘋果為 iCloud 加入全程加密等安全功能

蘋果宣布包括全程加密、以金鑰驗證身分及登入 Apple ID 等三項 iCloud 安全功能，預計2023 年推向全球用戶。這三項技術包括 iCloud 進階資料防護（Advanced Data Protection）、iMessage 聯絡人金鑰驗證（Contact Key Verification）及 Apple ID 安全金鑰（Security Keys for Apple ID）。
其中，進階資料防護可啟用端對端加密（E2EE）數據備份，且使用者的個人資料只能在受信任的裝置上被解碼，因為這些裝置上保留了加密金鑰。

https://www.ithome.com.tw/news/154601

Google 警告 IE 上的零日漏洞

北韓的威脅行為者正積極利用一個 IE 上的零日漏洞攻擊南韓使用者。Google 威脅分析小組的研究人員發現最近的一系列攻擊是由 ScarCruft 所犯下，該組織又被稱為 APT37、InkySquid、Reaper、以及 Ricochet Chollima。新的發現指出，這些威脅行為者持續利用 IE 上的漏洞，例如 CVE-2020-1380 和 CVE-2021-26411。

https://thehackernews.com/2022/12/google-warns-of-internet-explorer-zero.html

12/9

結合雲服務與威脅情報收集與分析力，微軟跨入外部攻擊面管理

微軟今年 8 月推出外部攻擊面管理資安服務，提供無代理程式的資產探查能力，以及多種資安風險儀表板，可協助組織辨識是否出現連接未經許可基礎架構的活動，以及使用新的雲端服務資源等狀況。

https://www.ithome.com.tw/review/154562