CVE-2024-0132為時間檢查與時間使用（TOCTOU）漏洞，發生在檢查資源狀態與使用該資源間的時間差中，在預設的配置下執行特定的容器映像檔就會觸發該漏洞，允許駭客存取主機的檔案系統，成功的利用可導致程式執行、服務阻斷攻擊、權限擴張、資訊揭露或是竄改資料等行為。

有鑑於Nvidia為全球最大的顯示晶片供應商，Wiz估計，全球有33%的雲端環境都安裝了Nvidia Container Toolkit而可能曝險。

HashiCorp修補帳密管理工具Vault高風險漏洞

9月26日雲端服務基礎設施自動化業者HashiCorp發布資安公告，指出旗下的機敏資訊（secrets）管理工具Vault存在高風險漏洞CVE-2024-7594，同時影響社群版（Community Edition）與企業版（Enterprise），對此，他們發布社群版1.17.6，以及企業版1.17.6、1.16.10、1.15.15予以修補。

這項漏洞發生的原因，在於SSH機敏資訊引擎的valid_principals列表預設不須具備任何參數，一旦valid_principals及default_user欄位尚未設定，任何得到授權的使用者請求的SSH憑證，將能對任何本機使用者進行身分驗證，CVSS風險評分為7.7。

其他漏洞與修補

◆OpenPLC存在重大漏洞，攻擊者可發送特製請求觸發

◆Proxmox虛擬化平臺、郵件安全閘道的API存在高風險漏洞

◆Riello不斷電系統存在漏洞，恐導致設備遭到接管

◆Proroute旗下4G路由器存在高風險命令注入漏洞

◆影音播放器VLC Media Player修補高風險漏洞

【資安產業動態】

Firefox被控侵犯用戶隱私

非營利的歐洲數位人權中心None of Your Business（NOYB）向奧地利資料保護機構（DSB）投訴，指控Mozilla基金會在Firefox瀏覽器中內建的隱私保護歸因（Privacy Preserving Attribution，PPA）在未取得使用者同意之前便預設啟用，違反GDPR。

NOYB認為，Mozilla企圖在不於各個網站蒐集個人資料的情況下衡量廣告效果，但事實上，有部分的追蹤能力直接轉移到Firefox上，雖然相較於在美國常見的無限追蹤，PPA的侵入性較小，但根據GDPR，它依然侵犯了使用者的權利，因為它並沒有取得使用者的明確同意。

近期資安日報

【9月27日】駭客利用Docker引擎API進行挖礦

【9月26日】macOS版ChatGPT軟體存在可被竊密的漏洞SpAIware

【9月25日】UNC1860為攻擊中東企業組織的駭客開路