來源 iThome新聞 內容 上週美國網路安全暨基礎設施安全局（CISA）將3項已知漏洞列入已被用於攻擊行動的漏洞列表（KEV），並要求聯邦機構要在7月17日前完成修補。

來源 iThome新聞 內容 軟體供應鏈攻擊的情況，自6月已傳出多起資安事故，如今有研究人員發現鎖定軟體開發業者的攻擊事故，駭客竄改網站上的安裝程式，藉此散布惡意軟體。

來源 iThome新聞 內容 以色列資安業者E.V.A Information Security本周披露，由CocoaPods開發的蘋果平臺程式相依管理工具CocoaBeans，存在三大漏洞CVE-2024-38366、CVE-2024-38367與CVE-2024-38368，它們都與CocoaBeans的驗證伺服器Trunk有關，允許未經授權的用戶認領孤兒Pod套件，破壞受害者的會話，甚至可取得Trunk伺服器與基礎設施的最高存取權限。不過，上述漏洞皆已於去年完成修補。

來源 台灣電腦網路危機處理暨協調中心 內容 OpenSSH 從1995 年問世以來，這是第一次出現遠端執行任意程式碼(RCE)漏洞(regreSSHion)，可以用最高管理員權限來遠端執行指令對系統控制，研究人員將它稱為regreSSHion。 OpenSSH 是一個基於 SSH 協定的開源軟體，常見於 Linux 中使用，作為遠端登入系統管理，也可進行遠端檔案傳輸，此次漏洞在2024 年 5 月被資安公司 Qualys 發現並將其命為regreSSHion(漏洞編號：CVE-2024-6387)，漏洞問題出現在檔案 sshd中，可以讓未經授權的攻擊者以 root 身分執行任意程式。 sshd 是 OpenSSH Server 的設定檔案，其存在一個變數 LoginGraceTime ，若沒有更改這個變數值，預設是 120 秒，它是代表給予使用者進行身分驗證的時間，所以當使用者使用 ssh 連接時，超過 LoginGraceTime 設定的時間 (預設 120 [繼續閱讀]

來源 iThome新聞 內容 使用者介面設計平臺Figma上周

來源 iThome新聞 內容 蘋果本周公開展示具備文字、聲音、圖像理解能力的多模態AI模型訓練框架4M，及支援21種模態資料的多模態模型。

來源 iThome新聞 內容 上週引起各界高度關注的polyfill[.]io供應鏈攻擊事故，使用此瀏覽器相容性程式庫的網站，會導致使用者被導向賭博網站或是惡意網站。事隔數日，經營者聲稱透過polyfill[.]com繼續提供服務，使得研究人員對於使用該程式庫的網站提出警告，呼籲網站管理者應儘速移除，或是尋求替代方案，如今有研究人員指出，對方同時其他網域來從事相關的供應鏈攻擊。

來源 iThome新聞 內容 上週最令人聞之色變的polyfill[.]io供應鏈攻擊事故，引起許多研究人員關注，並呼籲網站管理者要儘速更換相關程式碼因應。事隔數日，這起事故又有新的變化。 根據資安研究團隊MalwareHunterTeam與多名研究人員的調查，這些駭客同時也使用其他4個網域從事相關攻擊，因此受害範圍將進一步擴大，首先公布這起事故的資安業者Sansec表示，這些駭客已持續攻擊長達1年，他們找到8個對方使用的網域名稱。

來源 iThome新聞 內容 7月1日思科針對旗下網路設備作業系統NX-OS的漏洞CVE-2024-20399提出警告，此為命令列介面（CLI）的命令注入漏洞，攻擊者可在通過身分驗證的情況下，在本機以root的權限，於目標裝置的底層作業系統執行任意命令，CVSS風險評為6.0分。值得留意的是，他們提及今年4月這項漏洞已被用於攻擊行動。

來源 iThome新聞 內容 資安業者Qualys 周一（7/1）警告，他們在基於glibc之Linux系統的Open Secure Shell（OpenSSH）伺服器上發現一個安全漏洞CVE-2024-6387，將允許未經授權的駭客自遠端執行任意程式，該漏洞波及了絕大多數的Linux版本。