Security News Feed

於 Jenkins 發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發跨網站指令碼及洩露敏感資料。 影響 跨網站指令碼 資料洩露 受影響之系統或技術 Jenkins weekly 2.499 及以前的版本 Jenkins LTS 2.492.1 及以前的版本 解決方案 在安裝軟體之前，請先瀏覽供應商之網站，以獲得更多詳細資料。 安裝供應商提供的修補程式：   https://www.jenkins.io/security/advisory/2025-03-05/

<h2><strong>行業現狀與數據洞察</strong></h2> <p>網絡安全行業目前面臨著嚴重的人才短缺問題，據統計，全球範圍內網絡安全專業人員的缺口高達近 400 萬<sup><a href="#_ftn1" name="_ftnref1">[1]</a></sup> 。儘管網絡安全從業者數量以年均8.7%的速度增長，但供需缺口仍在持續擴大<sup><a href="#_ftn2" name="_ftnref2">[2]</a></sup>。 </p> <p> </p> <p>值得關注的是，職業多樣性對於解決勞動力短缺的問題至關重要。 增加女性在網絡安全行業中的比例可以幫助填補這一缺口。據統計，女性在全球網絡安全從業者中僅佔比約25%。 儘管預計到2025年將提升至30%<sup><a href="#_ftn3" name="_ftnref3">[3]</a></sup>，但仍無法填補巨大的網絡安全的人才需求。</p> <p> </p> <p>國際貨幣基金組織研究表明，將女性勞動力參與率提升5.9%，可推動國内生產總值（GDP）增長約8%<sup><a href="#_ftn4" name="_ftnref4">[4]</a></sup>。 這意味著讓更多女性技術人才加入不僅可以緩解行業人才短缺的問題，更可能帶來潛在的經濟效益。</p> <p> </p> <h2><strong>女性在網絡安全領域的獨特優勢</strong></h2> <p>女性在網絡安全領域具有獨特的視角和優勢，這些優勢不僅源於其專業能力，更與其在網絡世界中的獨特經歷和認知方式密切相關。 這些特質使女性從業者能夠為網絡安全領域帶來創新思維和更具包容性的解決方案。</p> <p> </p> <p>女性在網絡世界中往往面臨更嚴峻的挑戰。 有研究發現女性遭遇網絡騷擾的概率是男性的27倍<sup><a href="#_ftn5" name="_ftnref5">[5]</a></sup>，虛假資料、網絡騷擾和網絡犯罪的增加對女性的影響尤為嚴重<sup><a href="#_ftn6" name="_ftnref6">[6]</a></sup>。 這些經歷卻也為女性從業者提供了獨特的洞察力，爲之轉化為守護數位世界安全的強大動力。</p> <p> </p> <p>女性善於從不同群體的角度思考問題，更能夠發現潛在漏洞，將複雜的技術解決方案轉化為通俗易懂、便於執行的安全指引<sup><a href="#_ftn7" name="_ftnref7">[7]</a></sup>，從而彌合技術與實際應用之間的鴻溝。 例如，在設計反網絡追蹤方案時，女性工程師可能能夠更敏銳地捕捉隱私保護漏洞，開發出兼具技術嚴謹性和用戶體驗的安全產品。 在培養信任、提升大眾安全意識方面，女性也發揮著關鍵作用<sup><a href="#_ftn8" name="_ftnref8">[8]</a></sup>。 她們都能把複雜的網絡安全知識，轉化為大眾易於接受的形式，更好地提升大衆的網絡安全意識。</p> <p> </p> <p>網絡安全領域向來充滿不確定性與風險，而女性在風險敏感度上表現卓越。 《哈佛商業評論》指出，在多數領導技能維度，女性得分普遍高於男性，這意味著女性具備成為頂尖網絡安全從業者的巨大潛力。 正如 CyCognito 首席資訊安全官兼國家安全研究所研究員 Anne Marie Zettlemoyer 所説“女性是天生的風險建模者和管理者”<sup><a href="#_ftn2" name="_ftnref2">[3]</a></sup>。</p> <p> </p> <p>因此，充分挖掘並發揮女性力量在網絡安全領域的獨特優勢有利於構建更安全的數位世界。</p> <p> </p> <h2><strong>網絡安全中的</strong><strong>“她力量”</strong></h2> <p>網絡安全領域缺乏多元化和女性人才，而網絡安全高階職位所體現的性別差距最為明顯。 據統計，在財富 500 強公司中，女性僅佔首席資訊安全長 （CISO） 職位的 17%<sup><a href="#_ftn9" name="_ftnref9">[9]</a></sup>。</p> <p> </p> <p>此次，HKCERT很榮幸邀請到三位正處於不同行業階段的女性從業者，分享她們的經歷和見解。 希望能讓更多女性知道網絡安全中的女性代表，從而鼓勵她們加入到網絡安全行業中。</p> <p> </p> <h5><strong>Eve: </strong><strong>資深網絡安全女性領導者</strong></h5> <p>Eve女士畢業於香港中文大學資訊工程系，深耕網絡安全領域近三十載，她的職業生涯幾乎映射著香港數字安全發展史。Eve在事業初期就參與開發了香港首個電子銀行服務系統，並於2000年開始專注於電子商務的資訊安全及項目管理。自2011 年起，Eve擔任電子核證服務有限公司高級副總裁，並推動了粵港兩地電子簽名證書互認工作，為業界及政府部門等客戶提供諮詢服務和解決方案。Eve作爲專業資訊保安協會 (PISA) 會員及注冊資訊系統安全師 (CISSP) 始終活躍于行業建設的前沿，在不同領域推動資訊安全。</p> <p> </p> <p>與此同時，Eve也致力於培養新生代STEM（即科學、科技、工程及數學）人才，她表示 "多年來在資訊科技領域工作，我體驗到培育本地人才的重要性，而創造機會給下一代接觸STEM是關鍵的第一步。" Eve通過多維度實踐這一理念，例如以個人名義贊助 STEM Group 海外競賽， 以資訊安全訪校講者身份科普網絡安全，並與校友和學生分享分享資訊科技行業的職場心得。Eve還贊助了CNECCC 校友獎學金- 漢堯STEM 獎，以此鼓勵學生在STEM方面的發展。</p> <p> </p> <p>回溯職業生涯中所遇到的挑戰，Eve分享到：“早年曾遭遇系統在服務上線前8小時全面崩潰的危機。團隊通宵恢復了80%核心資料，最終保障系統如期安全啟動。 從這次危機中我學到了墨菲定律始終適用，以及永遠準備備用方案。" 她強調，在不斷變化且充滿挑戰的網絡世界中，網絡安全從業者需擁有動態思維——保持警惕、保持質疑、保持學習。</p> <p> </p> <p>談到女性的獨特優勢時，Eve指出"在處理危機的高壓環境下，女性更善於協調團隊衝突，將注意力導向問題本質。"她以自身經驗印證，女性在團隊協作、與利益相關方溝通方面具有優勢。</p> <p> </p> <p>面對生成式AI帶來的技術革命，Eve認爲對新一代的網絡安全專家來説，分析和解決問題的軟實力和硬技能將會變得同等重要。而用語言解釋技術問題或解決方案這一能力將變得更加關鍵。正因如此，女性的溝通及協調優勢將更好地幫助融合人文與技術領域。她也很欣慰地指出，從她入行至今，行業女性比例已從"罕見"發展為"可見"。</p> <p> </p> <p><u><strong>最後，Eve也為新一代女性從業者提供了一些建議：</strong></u></p> <ul> <li>持續通過教育和培訓提升自己，並獲取權威機構的認證</li> <li>與行業內的其他從業者建立聯繫</li> <li>不要猶豫，勇於提問和分享!</li> <li>女生們，請對自己充滿信心！</li> </ul> <h5> </h5> <h5><strong>Becca: </strong><strong>科技風險及合規評估專家</strong></h5> <p>Becca女士投身資訊技術及網絡安全行業已有十二年，現任國際四大會計師事務所之一從事科技風險及合規評估。Becca的職業生涯始于系統開發管理，後轉型深耕網絡安全，持續拓展專業邊界。談及職業轉型期的關鍵挑戰，Becca認爲是專業知識斷層帶來的焦慮與不確定性。她分享到："解決方法只有更加勤奮地學習，閱讀網絡安全相關新聞或文章，考取相關證書，並向前輩請教，以彌補相關知識。” </p> <p> </p> <p>對於女性從業者的差異化優勢，Becca 提到 “女性通常更為細心細緻，有耐心全面了解事件，在溝通表達方面也頗具優勢。” 以她個人經歷為例，在解釋風險評估結果時，相比技術型同事，她能更清晰且有條理地向客戶闡述風險問題以及整改的利弊。她也表示這些特質也可能是源於個體差異，而非性別必然優勢。</p> <p> </p> <p>回顧職業生涯，Becca感受到網絡安全行業發生了顯著變化。她剛進入網絡安全領域時，曾經歷過對女性能力的偏見。當時，她需要通過電話提供網絡安全建議，但對方僅聽到她是女性的聲音，就立即要求轉給其他男同事或更高級的人員處理案件。雖然是個別事件，但她仍感受到不被尊重。</p> <p> </p> <p>隨著時間的推移，令她感到欣慰的是，如今不僅湧現出眾多女性後輩，其中不乏技術性人才（如從事滲透測試、事故回應等工作），在大型行業峰會也特設女性專場，邀請行業中的資深女性前輩分享經驗。這標誌著業界對女性從業者的重視以及性別平等意識的實質性提升。</p> <p> </p> <p>展望行業未來發展，Becca表示 “隨著人工智能新技術的迅速發展並融入各行各業中，網絡攻擊也愈發頻繁，網絡安全成為企業不可忽視的關鍵部分。同時，各國各地區也越來越重視網絡安全及資料安全的合規要求。以香港為例，香港金管局持續關注最新的科技發展和威脅趨勢，發佈相關指引及規範；香港保監局也於去年發佈了最新的網絡安全指引（GL20）。縱觀國際格局，近年來中國、美國等地相繼制定了有關資料安全及跨境資料安全的指引和法規，以應對不斷變化的全球安全挑戰。” 她認為，面對技術與合規的雙重挑戰，企業必須投入更多人力和資源，以有效降低網絡安全風險及合規風險。</p> <p> </p> <h5><strong>Madeline: Z</strong><strong>世代網絡安全行業新星</strong></h5> <p>Madeline女士於2024年畢業于香港科技大學，主修電腦科學與物理，現於國際四大會計師事務所之一從事主動式網絡安全分析工作，為金融、教育及慈善領域的領軍機構提供滲透測試、漏洞評估及原始程式碼審查服務。</p> <p> </p> <p>她的職業選擇源於對底層技術研究的熱情與對解決問題的執著追求。值得一提的是，這種熱忱的萌芽可追溯至2022年HKCERT舉辦的網絡安全奪旗挑戰賽（CTF 2022），此後每年Madeline都會積極參加HKCERT CTF比賽。她表示“ HKCERT CTF是我參加的第一個網絡安全奪旗賽，這一個絕佳的平臺，讓我在充滿挑戰性的環境中鍛煉網絡安全技能，還能結識許多志同道合的網絡安全愛好者。” </p> <p> </p> <p>作為初入行業的從業者，Madeline坦言當前最大挑戰在於技術-業務的轉化能力："因爲缺乏商科背景，我需要學習如何建立技術分析與商業價值的連接邏輯，以便與客戶建立更好的溝通橋梁。” 對於行業熱議的性別議題，Madeline則持有獨到見解，她認爲個人的熱忱、技能、知識、經驗和學習態度，這些特質本身遠超越性別維度所帶來的影響。</p> <p> </p> <p>為促進女性從業者在行業的發展，Madeline也給出了自己的意見，她認為可以強化網絡安全領域女性代表的可見性，比如舉辦專門的女性峰會、比賽或社交活動，以此鼓勵更多女性從事該職業。 Madeline的個人職業願景明確指向紅隊領域，為此她正努力積累經驗及知識。希望這位從HKCERT CTF賽場逐步踏入真實網絡安全世界的新星能夠實現自己的目標，書寫出屬於這個時代的數字安全的新篇章。</p> <p> </p> <p>HKCERT衷心感謝Eve，Becca，和Madeline 的分享，她們的經歷展現了網絡安全行業不同階段從業者的風采，也彰顯了女性在這個領域的獨特價值與無限潛力。無論是經驗豐富的前輩，還是初入行業的新人，都在為網絡安全領域的發展貢獻著自己的力量。</p> <p> </p> <h2><strong>如何吸引和留住女性人才</strong></h2> <p>吸引和留住女性人才是推動網絡安全行業發展的關鍵。正如Eve所提到的，發展網絡安全需要注重培育年輕一代在STEM以及網絡安全方面的興趣和知識。在基礎教育階段，例如中小學期間，可以推廣STEM教育，並開設網絡安全啟蒙課程，通過遊戲化教學培養青少年的數位安全意識。在高等教育階段，院校可以為學生提供相關的競賽、實習機會、職業講座和專項獎學金等，幫助學生提升技術技能並在實踐中積累經驗，為投身網絡安全行業築牢根基。</p> <p> </p> <p>在職業發展方面，企業及整個行業也肩負著重要責任。一方面，可以為女性從業者提供更多的培訓資源以及技能提升機會，幫助她們緊跟行業前沿步伐，持續更新知識體系，精進專業技能。 另一方面，營造包容多元的企業文化，打造一個對所有性別都友好且支持的工作環境，讓女性從業者能夠充分施展才華，進而吸引更多女性投身網絡安全行業。</p> <p> </p> <p>網絡安全不僅僅是一種職業選擇，它更是守護數字世界安全的不可或缺的存在，尤其是在當下日益數字化的時代。通過縮小人才需求缺口，挖掘擁有巨大潛力的女性人才，能夠為網絡安全行業注入源源不斷的活力，推動整個行業的發展，更好地守衛網絡世界。</p> <p> </p> <p> </p> <p><sup><a href="#_ftnref1" name="_ftn1">[1]</a></sup><a href="https://www3.weforum.org/docs/WEF_Strategic_Cybersecurity_Talent_Framework_2024.pdf">https://www3.weforum.org/docs/WEF_Strategic_Cybersecurity_Talent_Framework_2024.pdf</a></p> <p><sup><a href="#_ftnref2" name="_ftn2">[2]</a></sup><a href="https://www.isc2.org/Insights/2024/04/Women-in-Cybersecurity-Report-Women-in-the-Profession">https://www.isc2.org/Insights/2024/10/ISC2-2024-Cybersecurity-Workforce-Study</a></p> <p><sup><a href="#_ftnref3" name="_ftn3">[3]</a></sup><a href="https://cybersecurityventures.com/women-in-cybersecurity-report-2023/#:~:text=Women%20held%2025%20percent%20of,to%2035%20percent%20by%202031.">Women To Hold 30 Percent Of Cybersecurity Jobs Globally By 2025</a></p> <p><sup><a href="#_ftnref4" name="_ftn4">[4]</a></sup><a href="https://www.imf.org/en/Blogs/Articles/2023/09/27/countries-that-close-gender-gaps-see-substantial-growth-returns">Countries That Close Gender Gaps See Substantial Growth Returns</a></p> <p><sup><a href="#_ftnref5" name="_ftn5">[5]</a></sup><a href="https://www.unwomen.org/en/news-stories/explainer/2023/11/creating-safe-digital-spaces-free-of-trolls-doxing-and-hate-speech">https://www.unwomen.org/en/news-stories/explainer/2023/11/creating-safe-digital-spaces-free-of-trolls-doxing-and-hate-speech</a></p> <p><sup><a href="#_ftnref6" name="_ftn6">[6]</a></sup><a href="https://www.forbes.com/sites/shelleyzalis/2024/10/23/the-untapped-potential-of-women-in-cybersecurity/">The Untapped Potential Of Women In Cybersecurity</a></p> <p><sup><a href="#_ftnref7" name="_ftn7">[7]</a></sup><a href="https://www.womentech.net/blog/6-reasons-why-cybersecurity-needs-more-women">6 Reasons Why Cybersecurity Needs More Women | Women in Tech Network</a></p> <p><sup><a href="#_ftnref8" name="_ftn8">[8]</a></sup><a href="https://securitybrief.com.au/story/the-case-for-more-women-in-cybersecurity-strengthening-the-industry-with-diverse-talent">https://securitybrief.com.au/story/the-case-for-more-women-in-cybersecurity-strengthening-the-industry-with-diverse-talent</a></p> <p><sup><a href="#_ftnref9" name="_ftn9">[9]</a></sup><a href="https://cybersecurityventures.com/women-in-cybersecurity-report-2022/">https://cybersecurityventures.com/women-in-cybersecurity-report-2022/</a></p>

於 VMware 產品發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統遠端執行任意程式碼、敏感資料洩露及資料篡改… 影響 遠端執行程式碼 資料洩露 篡改 受影響之系統或技術 VMware Cloud Foundation 4.5.x VMware Cloud Foundation 5.x VMware Fusion 13.x VMware ESXi 7.0 VMware ESXi 8.0 VMware Telco Cloud Infrastructure 2.x, 3.x, 4.x, 5.x VMware Telco Cloud Platform 2.x, 3.x VMware Workstation 17.x 解決方案 在安裝軟體之前，請先瀏覽供應商之網站，以獲得更多詳細資料。   安裝供應商提供的修補程式： https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390

於 Mozilla 產品發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況、權限提升、遠端執行任意程… 影響 阻斷服務 權限提升 遠端執行程式碼 繞過保安限制 篡改 受影響之系統或技術 以下版本之前的版本﹕   Firefox 136 Firefox ESR 115.21 Firefox ESR 128.8 Thunderbird 136 Thunderbird ESR 128.8 解決方案 在安裝軟體之前，請先瀏覽供應商之官方網站，以獲得更多詳細資料。 更新至版本:   Firefox 136 Firefox ESR 115.21 Firefox ESR 128.8 Thunderbird 136 Thunderbird ESR 128.8

於 Google Chrome 發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發遠端執行任意程式碼、阻斷服務狀況、繞過保… 影響 遠端執行程式碼 阻斷服務 繞過保安限制 資料洩露 受影響之系統或技術 Google Chrome 134.0.6998.35 (Linux) 之前的版本 Google Chrome 134.0.6998.44/45 (Mac) 之前的版本 Google Chrome 134.0.6998.35/36 (Windows) 之前的版本 解決方案 在安裝軟體之前，請先瀏覽供應商之網站，以獲得更多詳細資料。 安裝軟件供應商提供的修補程式： 更新至 134.0.6998.35 (Linux) 或之後版本 更新至 134.0.6998.44/45 (Mac) 或之後版本 更新至 134.0.6998.35/36 (Windows) 或之後版本

於三星產品發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發篡改、遠端執行程式碼、阻斷服務狀況、… 影響 阻斷服務 權限提升 資料洩露 遠端執行程式碼 篡改 受影響之系統或技術 Exynos 9820, 9825, 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 9110, W920, W930, W1000, Modem 5123, Modem 5300, Modem 5400 Galaxy Watch running Android Watch 14 Samsung mobile devices running Android 13, 14, 15 有關受影響產品，請參閱以下連結: https://security.samsungmobile.com/securityUpdate.smsb https://semiconductor.samsung.com/support/quality-support/product-security-updates/ 解決方案 在安裝軟件之前，請先瀏覽供應商之網站，以獲得更多詳細資料。 安裝軟件供應商提供的修補程式： https://security.samsungmobile.com/securityUpdate.smsb https://semiconductor.samsung.com/support/quality-support/product-security-updates/

於 Android 發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況、洩露敏感資料、遠端執行程式碼… 影響 權限提升 阻斷服務 資料洩露 遠端執行程式碼 受影響之系統或技術 2025-03-01前的 Android 保安更新級別 解決方案 在安裝軟體之前，請先瀏覽供應商之網站，以獲得更多詳細資料。 安裝軟件供應商提供的修補程式： https://source.android.com/docs/security/bulletin/2025-03-01

於 SUSE Linux 內核發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況及權限提升。   注意： CVE-2024… 影響 阻斷服務 權限提升 受影響之系統或技術 Confidential Computing Module 15-SP6 openSUSE Leap 15.3 SUSE Enterprise Storage 7.1 SUSE Linux Enterprise High Availability Extension 15 SP3 SUSE Linux Enterprise High Performance Computing 15 SP3 SUSE Linux Enterprise High Performance Computing LTSS 15 SP3 SUSE Linux Enterprise Live Patching 15-SP3 SUSE Linux Enterprise Micro 5.1 SUSE Linux Enterprise Micro 5.2 SUSE Linux Enterprise Micro for Rancher 5.2 SUSE Linux Enterprise Server 15 SP3 SUSE Linux Enterprise Server 15 SP3 Business Critical Linux SUSE Linux Enterprise Server 15 SP3 LTSS SUSE Linux Enterprise Server 15 SP6 SUSE Linux Enterprise Server for SAP Applications 15 SP6 SUSE Linux Enterprise Server for SAP Applications 15 SP3 SUSE Manager Proxy 4.2 SUSE Manager Retail Branch Server 4.2 SUSE Manager Server 4.2 解決方案 在安裝軟體之前，請先瀏覽供應商之網站，以獲得更多詳細資料。   安裝供應商提供的修補程式： https://www.suse.com/support/update/announcement/2025/suse-su-20250771-1/ https://www.suse.com/support/update/announcement/2025/suse-su-20250784-1

於 Debian Linux 內核發現多個漏洞。遠端攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況、權限提升及洩露敏感資… 影響 權限提升 資料洩露 阻斷服務 受影響之系統或技術 Debian 11 bullseye 5.10.227-5.10.234-1 以前的版本 Debian 11 bullseye 6.1.120-6.1.128-1~deb11u1 以前的版本 解決方案 在安裝軟體之前，請先瀏覽供應商之網站，以獲得更多詳細資料。   安裝供應商提供的修補程式： https://lists.debian.org/debian-lts-announce/2025/03/msg00001.html https://lists.debian.org/debian-lts-announce/2025/03/msg00002.html

於 Ubuntu Linux核心發現多個漏洞。攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況、遠端執行任意程式碼、繞過保… 影響 阻斷服務 遠端執行程式碼 繞過保安限制 資料洩露 權限提升 受影響之系統或技術 Ubuntu 14.04 ESM Ubuntu 16.04 ESM Ubuntu 18.04 ESM Ubuntu 20.04 LTS Ubuntu 22.04 LTS Ubuntu 24.10  Ubuntu 24.04 LTS 解決方案 在安裝軟件之前，請先瀏覽供應商之網站，以獲得更多詳細資料。   安裝供應商提供的修補程式： https://ubuntu.com/security/notices/USN-7289-4 https://ubuntu.com/security/notices/USN-7294-2 https://ubuntu.com/security/notices/USN-7294-3 https://ubuntu.com/security/notices/USN-7303-2 https://ubuntu.com/security/notices/USN-7308-1 https://ubuntu.com/security/notices/USN-7310-1 https://ubuntu.com/security/notices/USN-7311-1 https://ubuntu.com/security/notices/USN-7294-4 https://ubuntu.com/security/notices/USN-7303-3 https://ubuntu.com/security/notices/USN-7294-4 https://ubuntu.com/security/notices/USN-7322-1 https://ubuntu.com/security/notices/USN-7323-1 https://ubuntu.com/security/notices/USN-7323-2 https://ubuntu.com/security/notices/USN-7324-1 https://ubuntu.com/security/notices/USN-7325-1 https://ubuntu.com/security/notices/USN-7326-1 https://ubuntu.com/security/notices/USN-7327-1 https://ubuntu.com/security/notices/USN-7328-1 https://ubuntu.com/security/notices/USN-7329-1 https://ubuntu.com/security/notices/USN-7331-1 https://ubuntu.com/security/notices/USN-7332-1 https://ubuntu.com/security/notices/USN-7333-1