如同歹徒犯案会事先勘察环境,骇客也会透露扫描特定弱点的方式寻找可下手的目标,但过往骇客往往是针对其中一项漏洞,或是特定组态配置不当的情况而来,如今有人同时对75种弱点挖掘能够攻击的目标,这样的情况极为罕见。
这起事故另一个特殊的地方在于,整个活动只维持一天,使得研究人员想要找出攻击者的身分,也变得更加困难。
【攻击与威胁】
5月29日户外用品与运动服饰业者The North Face向佛蒙特州总检察长通报,该公司网站在2025年4月遭遇了帐号填充(Credential Stuffing)攻击,导致部分客户的个人资讯被窃取,该公司也对受到影响的客户通知此事。
针对事情发生的经过,The North Face于4月23日发现网站出现异常活动,随即展开调查,结果发现有部分客户资料外泄的情况。受影响的资讯包括姓名、购买记录、收货地址、电子邮件、出生日期及电话号码等。附带一提的是,由于该公司使用外部付款服务系统处理交易,付款资讯并未受到影响。不过,究竟有多少人受到影响,该公司并未透露。
值得留意的是,自2020年以来The North Face已有多次遭遇帐号填充攻击的记录。其中最近一次在今年3月,母公司VF Outdoor向缅因州总检察长办公室通报资料外泄事故,这起事故影响The North Face与Timberland两个品牌的网站,影响约15713个帐号。许多资安媒体不约而同指出,这类事件接连传出,可能与The North Face未强制采用多因素验证(MFA)有关。
6月2日Google发布电脑版Chrome更新137.0.7151.68、137.0.7151.69,这次修补3项漏洞,包含一个遭滥用的V8元件高风险漏洞。
这次更新修补的三项资安漏洞,分别为高、中、低度风险。其中高风险漏洞编号CVE-2025-5419,为影响JavaScript引擎V8的越界读写漏洞,攻击者可透过特制的HTML网页远端触发,引起记忆体堆积毁损,CVSS评分为8.8。该公司指出,此漏洞已出现实际利用的情况。
另一个出现在排版引擎Blink的漏洞CVE-2025-5068,也相当值得留意,此为记忆体释放后再存取使用(Use After Free)型态的弱点,同样可透过特制的HTML网页远端触发,引起记忆体堆积毁损。虽然Google认为该漏洞为中度风险,但资安业者Tenable、美国网路安全暨基础设施安全局皆将其评为8.8分的高风险层级。
其他漏洞与修补
◆Google宣布将移除Chrome浏览器对中华电信TLS凭证的预设信任后,中华电信决定8月起暂停签发TLS网站凭证,并宣布将主动联系凭证效期将到期的客户,免费提供TLS凭证更新。
本周Google宣布将调整Chrome浏览器根凭证的预设信任机制,因中华电信未在规定时间内配合政策完成调整,Google将从Chrome 139及后续版本开始,不再信任中华电信在2025年7月31日之后签发的新凭证,网站如使用这种的新凭证,Chrome浏览器用户造访该网站便会显示不安全,无法正常浏览网站。
中华电信决定从8月1日开始,暂停签发TLS凭证,但该公司强调此举并非其凭证存在漏洞或泄露私钥,无关资安或网路安全,同时也对造成社会大众的困扰表达歉意。