专精苹果设备管理的资安业者Jamf指出，他们在10月下旬，在上传到恶意程序分析平台VirusTotal的文件里，发现北韩黑客企图利用跨平台应用程序框架Flutter做为散布macOS恶意软件的管道，由于采用这款框架打造的应用程序会导致其代码变得更加复杂，而有可能让攻击者借此逃过各式资安防护机制的侦测。

研究人员发现这些恶意程序文件存在攻击意图，但所有杀毒引擎皆将其视为无害，而且，这些恶意软件还带有签章，并通过苹果的公证进程。对于黑客的意图，他们表示目前仍不得而知，无法确定是否已被用于实际攻击行动，或是攻击者正在打造、测试新的恶意程序。

虽然无从得知攻击者是正在进行测试，还是已经准备投入攻击活动，但研究人员指出，这是他们首度看到有人利用Flutter掩人耳目，并且企图以此对macOS用户发动攻击的情形。

Amazon坦承员工数据在MOVEit相关资安事件中外泄

网络电商及平台大厂Amazon坦承，他们受到去年5月的MOVEit漏洞事件波及，公司员工的数据已经外泄。该公司获报，一家物产管理厂商的资安事件影响包括Amazon在内的客户。外流数据主要是员工联系信息，像是公司电子邮件、室内电话、大楼地址。这家电商龙头强调，Amazon和AWS的系统都没有被骇。此外，Amazon透露，这「第三方厂商」无法存取更为敏感的个资，像是社会安全号码或财务信息。

该公司坦承数据外泄的原因，是使用Nam3L3ss为ID的人士于黑客论坛当中，声称握有包含Amazon等超过20家知名企业的数据，而Amazon遭到公布的280万行数据，来自该公司使用的MOVEit Transfer文件传输系统。

其他攻击与威胁

◆伊朗黑客发起Dream Job攻击行动，锁定航太产业散布恶意软件SnailResin

◆恶意工具GoIssue声称可对GitHub用户大规模从事网钓攻击，开发者号召打手采用

【漏洞与修补】

微软发布11月例行更新，修补4个零时差漏洞，其中2个已被用于实际攻击

11月12日微软发布本月份例行更新（Patch Tuesday），总共修补89个漏洞，其中有26个权限提升漏洞、2个安全功能绕过漏洞、52个远程代码运行（RCE）漏洞、1个信息泄露漏洞、4个阻断服务（DoS）漏洞，以及3个能被用于欺骗的漏洞。值得留意的是，本次有4个是零时差漏洞，这里面有2个已出现实际利用的状况。

4个零时差漏洞分别是：NTLM散列值泄露欺骗漏洞CVE-2024-43451、AD凭证服务（ADCS）权限提升漏洞CVE-2024-49019、Windows工作调度器权限提升漏洞CVE-2024-49039、Exchange服务器欺骗漏洞CVE-2024-49040。其中，CVE-2024-43451、CVE-2024-49039已出现实际攻击行动；在此同时，除了CVE-2024-49039是现在揭露，其余3个漏洞信息皆已遭到公开。

Adobe发布11月例行更新，修补旗下6款应用程序重大漏洞

11月12日Adobe发布资安公告，针对旗下Adobe Bridge、Adobe Commerce、After Effects、Audition、InDesign、Illustrator、Photoshop、Substance 3D Painter等多项产品发布安全性更新，总共修补48个漏洞，值得留意的是，这次超过半数为重大漏洞，再者，除了Audition、Bridge，其余6项应用程序皆存在重大漏洞。

单就重大漏洞数量来看，Adobe为Substance 3D Painter修补16个漏洞居冠，这些都有可能让攻击者运行任意代码，CVSS风险评分皆为7.8。而且，这些漏洞类型大部分属于越界写入（Out-of-bounds Write，OBW），总共有11个，其次有3个为内存缓冲区溢出漏洞，另有2个分别为内存重复释放（Double Free）漏洞、不受信任的搜索路径漏洞。

SAP针对Web Dispatcher修补高风险XSS漏洞

11月SAP发布8个资安公告，并更新其中2个已公开的漏洞信息，其中最受到注意的部分，是CVSS风险评分最高的CVE-2024-47590，影响的产品是应用程序负载平衡系统Web Dispatcher，属于跨网站脚本（XSS）弱点，危险程度为8.8分。

针对这项漏洞带来的危险，SAP指出未经身分验证的攻击者能制作能公开存取的恶意链接，一旦有通过身分验证的用户点击，网页便会在用户的浏览器以输入数据产生内容，进行跨网站脚本攻击，或是将这些数据发送到其他服务器，进行服务器请求伪造（SSRF）攻击，导致攻击者能够运行任意代码，从而影响服务器的机密性、完整性、可用性。

其他漏洞与修补

◆Citrix修补NetScaler设备高风险的内存安全漏洞

◆施耐德电机针对Modicon控制器漏洞提出警告

◆西门子远程监控系统TeleControl Server Basic存在风险满分漏洞，未经身分验证的攻击者可运行任意代码

【资安产业动态】

思科产品功能集成大进化，涵盖网络、AI、资安，同时发表首款企业级Wi-Fi 7基地台

【澳洲墨尔本现场报导】以网络设备起家的思科，近年来不断拓展其技术版图，不仅资安产品涵盖的面向越来越广，去年他们更是并购Splunk、推出了Cisco AI Assistant，持续引发业界关注，也让外界对其发展感到更加期待。

今年的思科亚太区年度用户大会Cisco Live!，于11月12日在澳洲墨尔本市召开，该公司亚太、日本和大中华区总经理Dave West在第一天活动主题演讲，谈到思科的重要转变，他说：「要成为一家成功的网络公司，必须具备顶尖的资安实力；而要成为领先的资安公司，则需要强大的AI能力，而为了成为AI公司，有赖于成为一流的数据公司。」

于此同时，思科也在本次大会上，发表了全新世代的无线网络设备──首款Wi-Fi 7基地台。虽然，这看起来只是无线网络规格的升级，但我们注意到思科在相关集成上的显著进步，涵盖无线网络解决方案本身，以及AI、资安，以及思科各种网络产品的相关集成。

近期资安日报

【11月12日】多组黑客通过SEO下毒手法，将用户导向冒牌电子商务网站

【11月11日】6.1万台D-Link网络存储设备存在重大层级命令注入漏洞

【11月8日】德国提出刑法修正草案，确立资安漏洞研究的合法地位