資訊教育宣導：網路霸凌與正義【連結】

資通訊產品帳號權限與密碼管理原則

說明：

一、密碼長度設定至少8碼，且應符合帳號及密碼內容設置原則。

二、密碼內容之設定，應參雜數字、英文字母大小寫及特殊符號，至少符合下列4項要求中之3項。

１、內含至少1個大寫英文字母。

２、內含至少1個小寫英文字母。

３、內含至少1個阿拉伯數字。

４、內含至少1個特殊符號。

三、密碼內容之設定，應儘量避免使用易猜測或公開資訊，如下說明：

１、個人姓名、出生年月日、身分證字號。

２、機關、單位名稱或是其他相關事項。

３、使用者ID、其他系統ID。

４、電腦主機名稱、作業系統名稱。

５、電話號碼、空白、字典字彙(具有意義的英文單字，例如：password等)。

６、禁止使用鍵盤順序鍵(如：qwer)。

７、密碼不得與帳號相同。

【漏洞預警】Microsoft Windows存在高風險安全漏洞(CVE-2024-21338)，請儘速確認並進行修補

說明：

轉發 國家資安資訊分享與分析中心 

內容說明：

研究人員發現Microsoft Windows作業系統的AppLocker安全功能存在本機提權漏洞(CVE-2024-21338)，允許完成身分鑑別的本機端攻擊者，利用此漏洞提升至系統權限。該漏洞目前已遭駭客利用，請儘速確認並進行修補。

影響平台：

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 11 Version 23H2 for x64-based Systems

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server 2022

Windows Server 2022 (Server Core installation)

Windows Server 2022, 23H2 Edition (Server Core installation)

 處置建議：

官方已針對漏洞釋出修復更新，請參考以下網址確認修補資訊：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21338

參考資料：

1. https://www.cisa.gov/known-exploited-vulnerabilities-catalog

2. https://nvd.nist.gov/vuln/detail/CVE-2024-21338

3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21338

【漏洞預警】Google Chrome、Microsoft Edge、Brave及Vivaldi瀏覽器存在安全漏洞(CVE-2023-7024)，允許攻擊者遠端執行任意程式碼，此漏洞已遭駭客利用，請儘速確認並進行更新。

說明：

轉發 國家資安資訊分享與分析中心 

內容說明：

研究人員發現Google Chrome與Microsoft Edge等以Chromium為基礎之瀏覽器存在WebRTC之堆積緩衝區溢位漏洞(Heap Buffer Overflow)，此漏洞已遭惡意濫用，遠端攻擊者可藉由誘騙使用者瀏覽利用此漏洞撰寫之惡意網頁，利用此漏洞達到遠端執行任意程式碼。

影響平台：

Google Chrome 120.0.6099.129(不含)以下版本

Microsoft Edge(Based on Chromium)120.0.2210.91(不含)以下版本

Brave 1.61.109(不含)以下版本

Vivaldi 6.5.3206.48(不含)以下版本

 處置建議：

一、請更新Google Chrome瀏覽器至120.0.6099.129(含)以上版本，更新方式如下：

1.開啟瀏覽器，於網址列輸入chrome://settings/help，瀏覽器將執行版本檢查與自動更新。

2.點擊「重新啟動」完成更新。

二、請更新Microsoft Edge瀏覽器至120.0.2210.91(含)以上版本，更新方式如下：

1.開啟瀏覽器，於網址列輸入edge://settings/help，瀏覽器將執行版本檢查與自動更新。

2.點擊「重新啟動」完成更新。

三、請更新Brave瀏覽器至1.61.109(含)以上版本，更新方式如下：

1.開啟瀏覽器，於網址列輸入brave://settings/help，瀏覽器將執行版本檢查與自動更新。

2.點擊「重新啟動」完成更新。

四、請更新Vivaldi瀏覽器至6.5.3206.48(含)以上版本，更新方式如下：

1.開啟瀏覽器，點選左上方Vivaldi圖示開啟下拉式選單，點選 說明>檢查更新。

2.點擊「重新啟動」完成更新。

參考資料：

1. https://nvd.nist.gov/vuln/detail/CVE-2023-7024#match-10167158

2. https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_20.html

3. https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security

4. https://brave.com/latest/

5. https://vivaldi.com/blog/desktop/minor-update-6-5/

6. https://www.ithome.com.tw/news/160497

【漏洞預警】蘋果裝置、Linux主機、安卓裝置恐曝露於藍牙鍵盤注入漏洞風險，攻擊者藉由配對假的鍵盤裝置進行控制

說明：

轉發 資安日報 https://www.ithome.com.tw/news/160267 

電腦、行動裝置搭配各式藍牙配備，已是相當普遍，但這種裝置配對機制存在弱點的情況，近期有多名研究人員公布相關研究，希望敦促裝置開發者儘速改善這類問題。

最近有研究人員公布新的漏洞CVE-2023-45866，並指出攻擊者可藉此配對「假鍵盤」，從而操作目標裝置，影響macOS、iOS、Linux、安卓作業系統的電腦或行動裝置，值得留意的是，研究人員今年8月通報後，蘋果目前尚未對此漏洞進行修補。

【攻擊與威脅】

• 愛爾蘭自來水公司傳出遭到攻擊，被迫中斷供水2天

• 俄羅斯駭客組織Star Blizzard使用新型態的帳密竊盜手法

【漏洞與修補】蘋果裝置、多家Linux作業系統存在藍牙鍵盤注入漏洞

資安業者SkySafe軟體工程師Marc Newlin揭露藍牙鍵盤注入漏洞CVE-2023-45866，這項漏洞影響執行macOS、iOS、Linux、Android作業系統的電腦與行動裝置，允許攻擊者在無需用戶確認的情況下，連線至目標裝置並注入按鍵指令，也就是代表攻擊者從遠端執行各式工作，如同在目標裝置操作鍵盤，例如：安裝應用程式、執行任意命令、轉發訊息，以及其他惡意行為。

這種漏洞並非單純的實作錯誤，亦包含藍牙協定本身的設計缺陷，其原理是能欺騙作業系統藍牙晶片的狀態，從而與假鍵盤進行配對。研究人員先是從蘋果電腦與行動裝置找到這項漏洞，並發現就算是使用者啟用了封閉模式（Lockdown Mode），還是無法防堵攻擊者藉此控制裝置。

後來他也在Linux電腦、安卓裝置也發現相同弱點，並指出雖然Linux基金會曾在修補CVE-2020-0556就予以處理，但大部分版本Linux預設並未啟用，僅有ChromeOS不受影響；安卓裝置一旦啟用藍牙功能就有可能曝險，研究人發現Google在2012年推出的4.2.2版就存在該漏洞，目前該公司在12月例行更新當中，對於11版以上的安卓作業系統進行修補。

【漏洞預警】教育部已公布禁用ZOOM！請記得解除安裝！

說明：

轉發 彰化縣資安協作平臺

【漏洞預警】WinRAR存在安全漏洞(CVE-2023-38831)，允許攻擊者遠端執行任意程式碼，該漏洞目前已遭駭客利用，請儘速確認並進行更新或評估採取緩解措施

說明：

轉發 國家資安資訊分享與分析中心

內容說明： 研究人員發現WinRAR存在安全漏洞(CVE-2023-38831)，由於ZIP文件處理過程不當，攻擊者可製作惡意ZIP或RAR壓縮檔，內容包含正常檔案與存有惡意執行檔之同名資料夾，當受駭者遭誘騙開啟正常檔案時，同名資料夾內之惡意執行檔將會觸發執行，進而遠端執行任意程式碼，相關研究表示該漏洞在本年4月已遭駭客利用。 

影響平台： WinRAR 6.22以下版本 

處置建議： 更新WinRAR至6.23以上版本，

步驟如下： 

一、開啟WinRAR 

二、說明 > 關於WinRAR > 首頁 

三、進入首頁下載WinRAR 6.23以上版本進行替代 

參考資料： 

1. https://nvd.nist.gov/vuln/detail/CVE-2023-38831 

2. https://www.ithome.com.tw/news/158421 

3. https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/ 

4. https://rahadchowdhury.medium.com/cve-2023-38831-winrar-zero-day-vulnerability-manually-exploit-45e5a5a504d

【漏洞預警】Google Chrome、Microsoft Edge、Brave及Opera等瀏覽器存在多個安全漏洞(CVE-2023-4068至CVE-2023-4078及其他6個已修正但未公布之漏洞)，允許攻擊者遠端執行任意讀寫或是利用堆疊毀損進行攻擊，請儘速確認並進行更新。

說明：

轉發 國家資安資訊分享與分析中心 NISAC-200-202308-00000030

研究人員發現Google Chrome、Microsoft Edge、Brave及Opera等以Chromium為基礎之瀏覽器，存在V8 JavaScript引擎類型混淆(Type Confusion in V8)、越界記憶體存取(Out of Bounds Memory Access)、越界記憶體讀取與寫入(Out of Bounds Memory Read and Write)、使用已釋放記憶體(Use After Free)、堆積緩衝區溢位(Heap Buffer Overflow)、資料驗證不充分(Insufficient data validation)及不當實作(Inappropriate implementation)等多個安全漏洞(CVE-2023-4068至CVE-2023-4078及其他6個已修正但未公布之漏洞)，攻擊者可透過特製網頁頁面，利用漏洞執行任意讀寫或是利用堆疊毀損(Heap corruption)進行攻擊。

[影響平台:]

● Google Chrome：115.0.5790.170/.171(不含)以前版本

● Microsoft Edge：115.0.1901.200(不含)以前版本

● Beave：1.56.20(不含)以前版本

● Opera：101.0.4843.43(不含)以前版本

[建議措施:]

一、請更新Google Chrome瀏覽器至115.0.5790.170/.171以後版本，更新方式如下： 

1.開啟瀏覽器，於網址列輸入chrome://settings/help，瀏覽器將執行版本檢查與自動更新 

2.點擊「重新啟動」完成更新 

二、請更新Microsoft Edge瀏覽器至115.0.1901.200以後版本，更新方式如下： 

1.開啟瀏覽器，於網址列輸入edge://settings/help，瀏覽器將執行版本檢查與自動更新 

2.點擊「重新啟動」完成更新 

三、請更新Brave瀏覽器至1.56.20以後版本，更新方式如下： 

1.開啟瀏覽器，於網址列輸入brave://settings/help，瀏覽器將執行版本檢查與自動更新 

2.點擊「重新啟動」完成更新 

四、請更新Opera瀏覽器至101.0.4843.43以後版本，更新方式如下： 

1.開啟瀏覽器，打開選單選擇Update Recovery 

2.點擊Check for update 

3.重新啟動瀏覽器完成更新