Google Chrome、Excel爆安全漏洞!「零日攻擊」是什麼?對企業有多傷?
Google Chrome、Excel爆安全漏洞!「零日攻擊」是什麼?對企業有多傷?

辦公室常用的生產力工具 Chrome 跟 Excel,最近都出現一些資安問題。

Excel、Google Chrome爆安全漏洞!零日攻擊是什麼?

根據資安新聞網站《Bleeping Computer》報導,Google威脅分析小組(Threat Analysis Group)的研究人員在近期發現,Google Chrome再次存在安全漏洞,以及讀取 Excel 檔案資訊的開放原始碼 Perl 函式庫也有漏洞,意思是電腦程式的安全性與訪問權限存在破口,可能被駭客濫用。

目前,美國網際安全暨基礎設施安全局(CISA)已經將Chrome與Excel的重大漏洞新增到被利用漏洞(KEV)目錄中,並且向美國聯邦機構發佈緊急通知,要求該機構在1月23日前解決問題。

到底「安全漏洞」具體會造成甚麼影響?公部門或企業單位如何預防?

理論上,程式存在漏洞是很正常的現象,但如果廠商不能趕在上線(或更新)前及時修復,這些漏洞就會變成駭客發動攻擊、植入惡意程式碼的突破口,進而入侵整台電腦系統,形成所謂的「零日攻擊」(zero-day exploit),或者稱零時差攻擊。

這會是一場開發人員與駭客之間的時間競賽,前者努力修補漏洞,後者試圖開發漏洞攻擊手法,分秒必爭。

釣魚郵件、暴力破解密碼⋯零日攻擊恐害企業丟失機密資料

根據網路安全服務提供商Cloudflare說明,攻擊者有各種方法來利用 zero-day 漏洞。其中,一種常見的策略是透過網路釣魚電子郵件來傳播惡意程式碼,這些郵件中包含嵌入了漏洞利用的附件或連結。當使用者下載附件或點擊連結時,就會執行這些惡意負載。

資安廠商趨勢科技(Trend Mirco)則分享,駭客可能透過暴力破解密碼、利用組態設定上的錯誤,先入侵某個系統、伺服器或網路,然後再植入含有漏洞攻擊手法的惡意程式。

舉例來說,索尼影視娛樂(Sony Pictures Entertainment)在2014年發生了一次著名的 zero-day 攻擊,許多敏感性資訊因此遭公開,包含未發行電影的複本、高級員工之間的電子郵件通訊以及商業計畫。Cloudflare指出,類似的攻擊事件會對企業產生許多不良影響,除了丟失有價值的機密資料,還可能喪失客戶與消費者的信任,以及企業不得不轉移寶貴的工程資源來修補漏洞。

如何防範零日威脅?建議採取多重資安防禦策略

問題是如何即時防範 zero-day 威脅?有觀點指出,偵測零時差攻擊的最佳方法是通過「使用者行為分析」,一旦電腦系統出現異常行為,意味著很可能正在遭受惡意攻擊。

也有廠商建議,企業在資安策略上應該採取「最小授權原則」,意即企業內部使用的工具或系統中,能不開放的權限就不要開放,以此有效降低駭客取得網際網路與內網權限的風險。

此外,重視保護電子郵件閘道、伺服器與網路。「零時差攻擊可能會出現在針對企業網路基礎架構各種不同環節的攻擊當中,其用途包括:協助執行惡意程式、植入惡意檔案或從事橫向移動,這正是為何每個環節都應該受到重視。」趨勢科技表示。

「zero-day 威脅很難被發現,」各家資安廠商都坦言,建議所有企業採用多重的資安防禦,比如透過防火牆與瀏覽器隔離,適當過濾惡意流量與網路活動,再搭配採用沙盒模擬分析(sandbox)技術,隔離可疑與惡意檔案,有助於縮小受攻擊面。

資料來源:BleepComputerCloudFlare趨勢科技

延伸閱讀:Google、亞馬遜慘遭有史以來最大DDoS攻擊!DDoS原理是什麼?怎麼防護網站?

責任編輯:蘇祐萱

關鍵字: #資訊安全
往下滑看下一篇文章
以AI驅動智慧轉型  中華電信打造產業升級新引擎
以AI驅動智慧轉型 中華電信打造產業升級新引擎

人工智慧技術正在加速企業的進化。中華電信早在2016年就制定了AI策略,不僅用來優化自身營運,還透過「內服外推」的策略,將實戰經驗轉化為產品與服務,例如智慧客服、法遵審閱和跨國語譯等,幫助企業在AI 2.0時代掌握人機協作的優勢,發揮AI的最大綜效。

從辨別式到生成式AI技術 驅動人機協作新紀元

2016年,AlphaGo的出現象徵著辨別式AI技術的成熟。人工智慧不僅能「看懂」、「讀懂」,甚至能「聽懂」人類的語言與行為,讓語音辨識、影像分析、文字理解等應用進入金融、製造、醫療與安防等產業。例如,金融業利用辨別式AI優化信用評估、詐欺偵測與風險管理;醫療業提升診斷疾病的能力;製造業用於品質檢測與預測性維修;安防業則透過人臉辨識與行為分析提升安全性。

隨著生成式AI與大型語言模型(LLM)的迅速發展,AI 2.0時代隨之而來。現在,不僅文本、圖像、影片、聲音、程式、數據與物件可以自動生成,還催生了代理式AI的出現。中華電信研究院院長蘇添財表示:「從辨別式AI、生成式AI到代理AI,人工智慧不僅具備成熟的數據分析、影像識別、語音合成能力,還具備語意理解能力,更重要的是,正朝著認知智慧邁進,能理解、思考、學習以及創新,開啟了人機協作的無限可能。」

然而,相較於個人使用者對生成式AI的積極採用,企業在導入AI方面仍較為謹慎。多數企業會從相對明確、風險可控的場景開始,例如客服自動化、智慧助理、文件摘要、行銷內容生成、知識庫查詢等,逐步評估資料安全、法遵框架與投資報酬率。

中華電信
中華電信研究院院長蘇添財
圖/ 數位時代

蘇添財指出:「AI導入不僅是IT專案,更是組織文化與營運流程的變革工程。」他提醒企業,若要真正發揮AI的效益,除了精準找出業務痛點、決定AI應用範疇,還需積極參與導入過程,並確保AI應用服務上線後,員工願意且滿意使用,才能發揮商業價值。

蘇添財進一步引用BCG《AI Radar Survey》指出,高達86%的企業相信人類與AI的協作將是未來的主流。協作模式多樣,有些企業讓AI成為決策輔助者,人類仍握有關鍵監督權;也有企業建構AI代理人(AI Agent)主動處理流程,只在例外情況轉交人工審核。「這些模式的共通點是,AI不再只是支援系統,而是決策與執行流程的共同參與者。」

「內服外推」策略 推動AI應用落地

身處AI變革的關鍵時刻,中華電信一方面在內部導入AI以優化營運效率、推動流程自動化,另一方面將實戰經驗轉化為產品與服務,協助客戶加速數位轉型。目標是透過「內服外推」的雙軌策略,加速AI落地,讓AI創造具體可見且有感的商業價值。

中華電信早在2016年就開始規劃與建構AI賦能的智慧客服、智慧聲控、智慧分析、智慧安防、語音助理與新興應用,並陸續推出20多個AI應用服務,例如IVR語音導航、MOD聲控助理、電信大數據分析、智慧交通、科技執法、AI總機等,並獲得市場的廣泛好評。

以智慧客服為例,中華電信透過語音辨識、語音合成、語意理解、多輪對話、知識管理、語音核證、對話分析等核心技術,開發出文字機器人、語音機器人、外撥機器人、值機應答助理、客戶心聲分析、訂位助理、掛號助理與智慧總機等服務,協助公部門、餐飲、旅遊、電商、製造、金融、醫療、物流等超過30家客戶優化客服效率與體驗。

蘇添財表示:「2016到2022年間,我們的重點不僅是打造AI應用服務,更是透過持續的實務應用與實戰經驗,全面提升『人才』、『平台』、『技術』與『資料』等方面的能力,例如員工對語音合成、影像辨識、自然語言處理(NLP)與數據分析的掌握度,為未來做好準備。」

隨著生成式AI的出現,中華電信也從AI 1.0(辨別式AI)階段邁向AI 2.0(生成式AI)階段,不僅鎖定智慧客服、智慧法律、新興應用、元宇宙、防詐資安、Copilot等六個領域,推出生成式AI賦能的產品服務,例如台灣第一個代筆遺囑生成服務、跨國即時語譯與仿聲服務等。此外,中華電信也將AI技術導入電信網路,研發智慧維運助理、自治網路、網路數位分身等服務,提升網路品質並降低維運成本。在客服領域,透過自然語言處理結合客服知識庫,能在5秒內提供一線客服人員所需的精準答案與參考資料,協助即時解決客訴問題,減少10%的客戶等待時間。同時,推出AI企業年報審閱服務,審閱人員只需匯入公司年報與相關法條,即可完成AI年報審閱工作,節省超過80%的人工作業時間,法規審閱精準度超過95%。

展望未來,中華電信將持續以「內服外推」的雙軌策略優化AI產品與服務,成為企業AI轉型的最佳夥伴。蘇添財表示,將因應AI技術的發展,深化在體現智慧(Embodied Intelligence)、多模態AI(Multimodal AI)、領域化模型(Domain-Specific Models)、可解釋AI(Explainable AI)、空間智慧(Spatial Intelligence)、人型機器人(Humanoid Robotics)、AI擴增開發(AI-Augmented Development)等領域的能力,目標是提供在地客製、可控可信的智慧應用,滿足各領域與產業的需求,攜手夥伴與客戶共同將想像轉化為價值,共建智慧新未來。

登入數位時代會員

開啟專屬自己的主題內容,

每日推播重點文章

閱讀會員專屬文章

請先登入數位時代會員

看更多獨享內容

請先登入數位時代會員

開啟收藏文章功能,

請先登入數位時代會員

開啟訂閱文章分類功能,

請先登入數位時代會員

我還不是會員, 註冊去!
追蹤我們
蘋果能再次偉大?
© 2025 Business Next Media Corp. All Rights Reserved. 本網站內容未經允許,不得轉載。
106 台北市大安區光復南路102號9樓