Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederithome.com.tw
iThome
Get the latest updates from iThome directly as they happen.
Follow now 51 followers
Latest posts
Last updated 15 minutes ago
量子運算業者IonQ獲得10億美元私募投資
21 minutes ago
新聞 量子運算服務供應商IonQ周一(7/7)宣布,已透過定向增資方式向Heights Capital Management私募發行總值10億美元的普通股與權證,並由J.P. Morgan擔任唯一承銷商。 2015年於美國創立的IonQ採用補獲離子技術,透過精密控制離子來執行量子運算,具備高度準確率及穩定性,提供自家開發的量子電腦及雲端運算服務,並整合AWS、Microsoft Azure Quantum及Google Cloud等平臺,提供藥物研發、金融建模、優化物流及國防等服務,並在今年6月宣布將以價值11億美元的股票買下英國量子運算新創Oxford Ionics,以強化全球布局。IonQ的目標是在2030年以前開發出具備200萬個量子位元的系統。 此次IonQ的融資總額為10億美元,內容包括14,165,708股的普通股,每股售價為55.49美元,3,855,557股的預先認購權證,每股售價同樣是55.49美元,以及36,042,530的7年期權證,每股行使價為99.88美元。IonQ說,這是量子產業史上最大的一次單一機構投資。 該交易的每股價格約比IonQ在7月3日收盤價(44.39美元)多出25%,而且雙方已於本周一開盤前完成交易,當天IonQ股價以45.2美元作收。...
ChatGPT Deep Research可能正測試串接Slack
about 2 hours ago
新聞 OpenAI可能正在為Deep Research測試串接Slack的連接器(connector)功能,以便強化研究搜尋的範疇。 一名研究人員Tibor研究ChatGPT程式碼發現一疑似連接器的功能,並說明「允許ChatGPT deep research讀取Slack訊息。」 目前不知OpenAI是經由和Slack合作,或是運用Slack API來達成串接。但一旦將這功能加入ChatGPT,它就能在執行Deep Research代理人進行網頁研究時,也擷取用戶的Slack內容。 Deep Research是ChatGPT的AI代理人,可依據用戶提示,針對特定主題進行多步驟反覆搜尋以改進回應答案的品質,最後生成報告。但它逐漸加入搜尋範疇,5月時擴及Dropbox及Box雲端硬碟。 ChatGPT...
Twitter創辦人Jack Dorsey開源其實驗性藍牙傳訊程式Bitchat
about 2 hours ago
新聞 曾參與創辦Twitter、Block與Bluesky的Jack Dorsey在本周一(7/7)釋出了他利用周末開發的新專案Bitchat,這是一個僅靠藍牙就能傳訊的程式,已透過GitHub開源,亦登上蘋果的TestFlight應用程式測試平臺,不到一天就達到TestFlight的1萬名測試上限。 Bitchat是一個完全仰賴藍牙網狀網路(Mesh Network)的去中心化點對點傳訊應用程式,完全不需要電話號碼、電子郵件、Wi-Fi或行動網路連線。 此外,它採用端對端加密,支援私訊與頻道加密,可建立群組頻道;支援儲存及轉寄,離線用戶在重連後仍可接到訊息;原生支援iOS與macOS,其協定可延伸支援Android;標榜不必註冊,不儲存個資,沒有永久ID,以及能夠緊急刪除資料。 Bitchat亦允許使用者封鎖用戶,或是移交頻道所有權,一個訊息最多可經過7個中繼藍牙裝置來完成傳送,採用Unlicense公共領域授權,允許任何人自由使用、修改與散布,適用於在網路受限、災難應變或抗審查環境下的使用者。 Dorsey在2006年共同創辦的Twitter是個微型部落格,初期限制使用者只能輸入140個字元,最後在2022年以440億美元賣給了馬斯克(Elon Musk),隨後被更名為X;2009年共同創立的Square之後更名為Block,這是一家金融科技公司,提供支付與金融服務;現身於2019年的Bluesky也是一個社交平臺,被視為是類似X的去中心化代替品,截至今年6月底已有超過3,690萬名註冊用戶。
勒索軟體Hunters International宣布關閉業務,釋出解密金鑰
about 3 hours ago
新聞 資安業者Group-IB今年4月揭露勒索軟體Hunters International的???新動態,指出這些駭客疑似在司法單位的壓力下,提供給加盟主的新版(第6版)勒索軟體已不再具備留下勒索訊息的功能,該組織還另外推出名為Storage Software的工具,讓加盟主能竊取受害組織資料的過程裡,將相關中繼資料回傳到該團體的伺服器。而這麼做的目的,很有可能是打算關閉Hunters International的專案,並使用World Leaks的名號另起爐灶,如今這樣的推測得到證實,駭客正式宣布結束營運。 根據資安新聞網站Bleeping Computer的調查團隊發現,Hunters International於7月3日正式宣布關閉其業務,並且直接提供解密金鑰,意味著尚未付錢的受害組織可免費將資料復原。 為何駭客要結束Hunters International?根據該團體在暗網發表的聲明,起因是近期的事態發展,經過仔細考慮,最後做出的決定。雖然這份公告沒有明確說明原因,但Bleeping Computer指出就是受到執法行動的壓力,因為上述公告引用一則11月17號的聲明,內容提及基於執法行動增加與獲利減少,Hunters...
Azure存在曝露VPN金鑰及過高授權的漏洞 可致敏感資訊外流
about 4 hours ago
新聞 研究人員發現微軟Azure存在部分角色有過高特權以及曝露VPN金鑰的漏洞,兩漏洞合用可能讓攻擊者輕易取得企業敏感資料。 2項漏洞是由Token Security發現。其一存在Azure角色為基礎的存取控制(role-based access control, RBAC)。第二則位於Azure API,可能讓攻擊者洩露VPN金鑰。 Azure RBAC是一權限管理機制,可讓管理員將權限分配給不同使用者、群組或是服務主體(service principals)。當管理員為一主體分派了角色,也就同時賦予其權限。但作者指出,在Azure 內建的400個角色中,有些角色具備過高特權(over-privileged)。作者認為有10個Reader角色被分配了不必要的讀取(*/read)特權,像是Log...
CoreWeave準備買下比特幣挖礦公司Core Scientific
about 4 hours ago
新聞 雲端GPU服務供應商CoreWeave周一(7/7)宣布,將以全股票方式買下挖礦暨資料中心託管業者Core Scientific,每股Core Scientific將可換取0.1235股新發行的CoreWeave普通股,相當於以每股20.4美元、總價90億美元收購Core Scientific。消息一出,Core Scientific的盤後價格上漲了2.97%,為15.27美元,CoreWeave盤後亦上漲0.79%,達160.96美元。 CoreWeave成立於2017年,當時公司名稱為Atlantic Crypto,所聚集的GPU資源主要用來開採以太幣,在加密貨幣於2018年崩盤之後,即更名為CoreWeave,並轉型對外供應基於GPU的運算資源,搭上了AI列車,還受到Nvidia青睞,總計投入了3.5億美元,持股7%。 至於成立於2018年的Core Scientific,則是北美最大的區塊鏈資料中心供應商與比特幣挖礦公司,根據該公司今年第一季的財報,該季營收為7,950萬美元,就有6,720萬美元屬於挖礦收入,380萬美元為代管挖礦收入,以及860萬美元的資料中心託管收入。Core Scientific在今年第一季的營業損失為4,260萬美元。 CoreWeave相中的是Core...
日本Yahoo如何實驗網站前端效能優化方法,用有限成本同時提升使用者體驗與廣告收入
about 5 hours ago
新聞 新聞網站是日本Yahoo龐大流量集散地,累積7,770萬月活躍讀者,更是母公司LYC一年3千億日圓營收的展示型廣告業務中,不可或缺的重要廣告通路。今年LYC年度技術大會中,日本Yahoo分享自家提升網站前端效能的實驗歷程,探索如何用盡可能有限的資源,來改善使用者體驗及增加廣告收入。 日本Yahoo廣告工程師Imamiya Masaki說,這並不是他們第一次,利用提升網站前端效能來增加廣告收入。他們曾經針對Google提出的Core Web Vitals網站效能指標來優化,提升高達15%單一工作階段網頁瀏覽次數(Page View)。他們還在導入Back-Forward Cache(往返快取)技術後,提升高達9%的廣告營收。 這次,他們則希望強化預先渲染技術(Pre-render),來加速網站內容顯示速度,並觀察,內容顯示效率提升,能否增加閱讀量、停留時間、點擊率,或減少跳出率,進而對廣告業務指標做出貢獻。 預渲染技術是,預測可能即將載入的資源,提前請求並渲染頁面和執行JavaScript。如此,使用者點擊連結或開啟新內容時,瀏覽器就能立即呈現完整內容。這種做法的代價是,若預測使用者點擊不夠準確,會導致預先渲染內容,最後卻不會呈現給使用者,白白增加資源消耗。為了衡量這項代價,日本Yahoo在實驗中追蹤「預渲染命中率」指標,亦即「使用者真正看到的」預渲染項目數占總體比例。 日本Yahoo工程團隊導入Google開發的Speculation Rules...
溫布頓網球賽AI線審頻出包備受批評
about 6 hours ago
新聞 溫布頓(Wimbledon)網球錦標賽本次正式使用的AI線審,出現誤判或比賽中無法運作等問題遭多位選手批評。 今年溫布頓網球賽首次啟用AI線審( Electronic Line Calling,ELC)周一發生嚴重失誤。這個系統旨在完全取代人類線審判斷擊球是否出界並且發出聲音。但女單第四輪俄羅斯選手Anastasia Pavlyuchenkova對戰英國選手Sonay Kartal,在第一盤比賽打到4:4並且在Advanced時,Kartal的擊球明顯出界ELC系統卻沒有發出任何判決。主審立即喊停比賽,最後在與大會通過電話後向大會宣布,ELC系統未能追蹤到球,必須重打。最後英國選手拿下該局。雖然俄羅斯選手最終贏得比賽,但她當時指控該局「遭大會偷走」。 原因是當時ELC使用的一組攝影鏡頭被工作人員不慎關閉。媒體報導,AI系統在該場比賽中停止運作6分49秒,漏判了3顆出界球。 大會在周一緊急修正,使ELC攝影機無法在系統啟用時人為關閉。 不過這並不是這次大會中AI線審首次出包。在此之前,另兩名英國選手Emma Raducanu和Jack...
Next.js修補快取污染漏洞,防止靜態頁面DoS攻擊
about 21 hours ago
新聞 Next.js釋出安全更新,修正影響15.1.0至15.1.7版本的快取污染漏洞CVE-2025-49826,以防範攻擊者利用該漏洞造成靜態頁面阻斷服務(DoS)問題。該漏洞風險評等為高,CVSS 3.1基本分數則為7.5,主要威脅在於特定配置下,網站頁面可能無預警對所有用戶出現204空回應,導致正常存取服務中斷。 此次漏洞發生在Next.js的增量式靜態再生成(ISR)啟用快取重驗證機制,並結合伺服器端算繪(SSR)路徑時,當外部CDN又快取HTTP 204回應,便會出現問題。官方指出,在極少數特定條件下,受影響的Next.js版本可能會將204無內容的回應錯誤地快取,導致同一路徑的所有用戶請求都只收到204回應。如此部分生產環境中的靜態頁面就會長時間無法正常顯示,嚴重影響服務的可用性。 根據官方說明,這個漏洞僅會在同時符合幾個特定條件時才會被觸發,包括使用受影響的Next.js版本、路徑啟用ISR快取重驗證,並以Next start或Standalone模式運作,以及該路徑同時使用SSR並且CDN被設定為快取204回應。 Vercel官方公告指出,他們的架構設計不會讓204回應被CDN快取,因此所有在Vercel託管的用戶都不會受到這個漏洞影響。採用自建或其他非官方託管環境的開發者,則需特別注意相關設定與版本更新。 針對此次漏洞,Next.js團隊已於15.1.8版本移除相關問題程式碼路徑,並針對導致競態條件(Race Condition)可能造成快取污染的部分進行修正。該漏洞未影響資料機密性與完整性,僅會造成可用性中斷,不過採用受影響版本的用戶仍應儘速升級,以降低相關潛在風險。
【資安日報】7月7日,Linux命令列工具Sudo修補兩項權限提升漏洞
about 23 hours ago
新聞 這週末有數則漏洞修補的消息,其中尤以Sudo發布新版的消息相當值得留意,開發團隊這次一共修補兩項漏洞,但特別的是,其中一項危險程度僅有2.3分的低風險漏洞引發關注,因為從12年前發布的版本都受到影響,而有可能影響相當廣泛。 而在這段期間發生的資安事故當中,Apache Tomcat、Camel漏洞利用的攻擊活動相當值得留意,再者,由於先前有Verizon、T-Mobile資料外洩事故,西班牙電信業者Telefonica傳出資料外洩的情況,也引起關注;附帶一提的是,中國駭客仿冒知名品牌網站,試圖針對墨西哥用戶進行大規模網釣攻擊的現象,其手法也引起網路情報平臺Silent Push注意,並調查此事。 【攻擊與威脅】 Apache Tomcat、Camel遭到鎖定,駭客利用已知漏洞從事攻擊 今年3月,Apache基金會發布Java應用程式伺服器Tomcat、中介軟體Camel的資安公告,揭露Tomcat遠端程式碼執行(RCE)暨資訊洩露漏洞CVE-2025-24813(CVSS風險為9.8分),以及Camel遠端程式碼執行漏洞CVE-2025-27636與CVE-2025-29891(風險值5.6、4.8),同月下旬資安業者Wallarm警告,CVE-2025-24813被公開30個小時後,就出現概念驗證程式碼(PoC),很快就會出現實際攻擊,如今有其他資安業者證實這樣的現象成真。 最近有一份調查報告揭露上述3項漏洞遭到利用的跡象,指出在Apache基金會發布修補程式、研究人員公開概念驗證程式碼不久,就出現大規模的漏洞掃描,駭客試圖尋找存在漏洞的Tomcat與Camel主機下手。 揭露此事的資安業者Palo Alto...
Linux命令列工具Sudo存在權限提升漏洞,若不處理攻擊者可輕易得到root權限
about 23 hours ago
新聞 Linux用戶對於權限提升的命令列工具Sudo應該不陌生,此工具能允許通過授權的用戶以其他使用者身分執行命令,其中最常見的使用場景,就是用來執行需要root的權限工作,使用者能在無須存取root帳號的情況下達到目的,並留下系統事件記錄以供稽核,一旦這類工具存在弱點,很有可能成為攻擊者取得特殊權限的管道。 6月底Sudo開發團隊發布1.9.17p1版,修補本機權限提升漏洞CVE-2025-32462、CVE-2025-32463,其中一個影響範圍超過12年版本的Sudo;另一個則是危險程度達到重大層級,相當危險。通報此事的資安業者Stratascale強調,這些漏洞沒有其他替代緩解措施,用戶應儘速安裝新版Sudo因應。 根據CVSS風險評分,較為危險的是評為重大層級的CVE-2025-32463,這項弱點與Sudo的-R(或--chroot)選項有關,一旦遭到利用,攻擊者就能以root身分執行任意命令,CVSS風險達到9.3分,影響1.9.14以上版本的Sudo。 這項漏洞源自1.9.14版Sudo引入的路徑解析變更,一旦攻擊者在特定使用者的根目錄建立/etc/nsswitch.conf檔案,就有機會讓Sudo載入任意的共用程式庫。 針對漏洞的危險之處,Stratascale指出雖然這項弱點涉及chroot的功能,但由於不需使用者建立特定的規則,預設組態的Sudo就會曝險,若是遭到利用,攻擊者就能在取得任意本機使用者帳號的情況下,將權限提升為root。他們也確認Ubuntu 24.04.1、伺服器版Fedora 41預載的Sudo存在這項漏洞;1.8.32版以下的Sudo因尚未提供chroot功能,不受漏洞影響。 另一項是風險值僅有2.3分,但已存在超過12年的資安漏洞CVE-2025-32462。這項漏洞存在於Sudo的host(-h或--host)選項當中,一般來說,使用者通常會搭配list(-l或--list)的選項,列出使用者在特定主機上的Sudo權限。 這項弱點發生的原因為何?起因在於Sudo會將主機名稱錯誤地視為設定檔Sudoers規則的部分內容,使得此組態檔案只要host欄位只要不是設置為本機或是ALL,就會受到影響。這種弱點主要影響套用通用Sudoers檔案的區域網路電腦。 值得留意的是,該漏洞影響2013年8月發布的1.8.8版,意味著這12年推出的Sudo都有這項漏洞。雖然這項漏洞的僅被評為低風險,但Stratascale認為不能輕忽,原因是Sudo的組態檔案只要符合指定的條件,攻擊者無須手動觸發就能將權限提升為root。他們也在Ubuntu 24.04.1、macOS...
西班牙電信業者Telefonica傳資料外洩,駭客揚言公開106 GB檔案
about 24 hours ago
新聞 BleepingComputer報導,一名駭客在地下網站公佈了取得了Telefonica公司檔案及客戶資料高達106GB,還揚言全數公開。 這名代號Rey的駭客自稱是Hellcat勒索軟體的一員,該組織在5月底成功駭入Telefonica公司網路並活動並外傳資料了12小時之久,直到被切斷存取為止。 Rey告訴媒體,他們是利用Jira配置不當的問題,成功存取了這家電信公司的內部系統。最後,駭客一共取得了106.3GB超過38萬份檔案,內容涵括內部通訊如工單、電子郵件、採購單、內部系統紀錄、客戶資料和員工資訊等。 媒體在6月初多次聯繫Telefonica多個部門、公司高層,但都沒有接獲回應,唯一回應的Telefonica O2員工則說,是駭客以早前外洩的資料為幌子勒索公司。 不知因為遭到Telefonica拒絕聯繫,這名Rey於上周釋出了5GB的公司資料,以證明這106GB資料皆為新資料。根據分析,駭客提供給媒體的部份資料包含歐洲數國、智利、祕魯的企業客戶資料,以及歐洲及南非數國的員工郵件信件,以及歐洲商業夥伴的發票。但這些檔案皆為2021年的資料。 但駭客揚言,很快將公佈完整檔案樹,而且,若Telefonica還不照辦(付款),他會在接下來幾個星期釋出完整資料。 Telefonica是最近傳出洩露大量資料的電信公司。上周美國二大電信公司Verizon、T-Mobile也被傳上億筆資料落入駭客手中,不過兩公司矢口否認是新的資安事件。5月韓國電信SKT則承認一起網路攻擊行動影響2700萬門號。2024年底資安廠商揭露中國駭客組織Salt Typhoon,透過思科網路設備漏洞,入侵了至少9家美國電信業者,加拿大一家電信公司則在上個月成為該組織最新一家受害者。