端點安全 | TOCTOU | CVE-2026-41702 | VMware Fusion

博通修補VMware Fusion高風險漏洞

博通(Broadcom)近日發布VMware Fusion 26H1版更新,修補高風險權限提升漏洞CVE-2026-41702,若不處理,攻擊者有機會藉此得到root權限

2026-05-20

端點安全 | CVE-2026-6637 | CVE-2026-6473 | CVE-2026-6475 | CVE-2026-6477 | rce

PostgreSQL資料庫發布更新,修補11項漏洞與60多項程式錯誤

PostgreSQL近日同步更新所有主要支援版本,修補多項可能導致執行任意程式碼或複寫檔案的重大漏洞,建議用戶儘速升級

2026-05-19

AI資安 | CVE | Chrome | AI輔助漏洞發掘 | 資安 | 漏洞管理 | 漏洞修補 | 威脅情報 | VMware | Apache | Mozilla

多家軟體供應商2026年以來CVE揭露量攀升,Chrome大增563.2%,AI輔助漏洞發掘影響浮現

Chrome的CVE揭露量今年暴增563.2%,Mozilla、VMware、Apache等產品也同步攀升。漏洞情資業者VulnCheck認為,這波變化與AI輔助漏洞發掘工具逐漸成熟的趨勢相符,但目前仍屬初步跡象,無法將所有成長直接歸因於AI

2026-05-19

資安日報

【資安日報】5月19日,Linux核心再傳Copy Fail新變種漏洞

Linux核心再傳新的權限提升漏洞,公開細節的資安團隊表示,此為Copy Fail、Dirty Frag與Fragnesia的變種,他們已向開發團隊通報並確認已完成修補才公開,並將漏洞命名為DirtyDecrypt

2026-05-19

資安維運 | 端點安全 | Wazuh | CVE-2026-30893

仍有將近3500臺Wazuh主機未修補執行任意程式碼漏洞,暴露於攻擊風險下,用戶需儘速更新

開源資安監控平臺Wazuh揭露重大漏洞過後兩週,大量用戶尚未採取修補行動,許多未修補的主機直接暴露於網路上,臺灣也有19臺受影響

2026-05-19

應用程式安全 | ModernGov | GemStuffer | RubyGems | 資料外洩

針對RubyGems遭遇大規模垃圾套件攻擊事故,傳出駭客的目的是洩露英國政府機關網站資料

RubyGems儲存庫近日遭遇大量垃圾套件攻擊,資安公司Socket透露,這很可能並非鎖定套件儲存庫用戶的供應鏈攻擊,而是有人抓取英國地方政府網站內容的資料外洩活動,駭客的目的,其實是將RubyGems充當資料外洩的管道

2026-05-19

AI資安 | CloudFlare | Anthropic | Claude Mythos Preview | AI安全 | 資安 | 漏洞研究

Cloudflare測試Claude Mythos,能串聯多個低風險漏洞形成攻擊鏈

Cloudflare測試Anthropic資安模型Claude Mythos Preview後指出,先進AI已不只是找漏洞,而是能把多個低嚴重性漏洞串聯成完整攻擊鏈,甚至自行撰寫、編譯並執行PoC程式

2026-05-19

資料安全 | 資安 | 資料外洩 | 醫療資安 | NYCHealthHospitals | 個資外洩

美國最大公立醫院醫療資訊、指紋、信用卡資料被竊走,影響180萬人

美國最大市立醫療體系NYC Health + Hospitals公告資料外洩事件,疑似與第三方系統廠商安全事件有關

2026-05-19

應用程式安全 | RubyGems

RubyGems遭遇大規模惡意攻擊,暫停開發者註冊新帳號因應

近日RubyGems傳出因遭遇垃圾套件攻擊,關閉新帳號註冊功能因應,相關維護者透露,這起事故攻擊者使用新申請的帳號上傳惡意套件,前後共上傳的套件數量超過500個

2026-05-19

臺灣資安大會直擊 | AI資安 | 中華電信 | 影子AI | Shadow AI | 中小企業資安 | 中華電信資訊技術分公司 | 中國AI工具風險 | 中國AI服務 | DeepSeek | 騰訊QClaw | 文心一言 | Kling

【臺灣資安大會直擊】電信流量揭臺灣企業AI風險:7成大型企業封鎖中國模型,中小企僅27%跟進,逾6萬企業未封鎖中國模型

從電信流量看臺灣企業使用AI狀況,中華電信旗下資訊技術分公司揭露,臺灣大型企業已有超過半數採取封鎖中國AI工具的嚴格管控,反觀中小企業採取管控的比例僅有2成7。在缺乏有效管控下,全臺逾6萬家企業員工使用中國AI工具,反映出部分企業資安防線正承受更複雜的疊加風險

2026-05-19

端點安全 | PQC | 數位簽章 | 韌體安全 | 韌體信任鏈

WD為硬碟韌體保護導入後量子數位簽章技術,硬碟安全進入抗量子時代

WD為 Ultrastar DC HC6100 UltraSMR 硬碟引進保護韌體的後量子數位簽章機制,結合傳統RSA簽章構成雙重簽章技術,確保同時相容現有環境與未來防護標準

2026-05-19

資料安全 | MacOS | 竊資程式 | 惡意程式

Reaper竊資程式混合冒充蘋果、微軟、Google,攻擊macOS用戶並建立後門

資安業者SentinelOne揭露新型macOS竊資程式Reaper,會在感染鏈中分階段冒充蘋果、微軟與Google相關服務,並透過假冒通訊軟體WeChat與線上協作白板Miro安裝程式誘騙用戶上鉤

2026-05-19

端點安全 | Linux Kernel | Linux Kernel 7.0 | LPE | DirtyDecrypt | DirtyCBC

Linux核心再傳新的權限提升漏洞DirtyDecrypt

Linux核心日前傳出本機權限提升漏洞Copy Fail、Dirty Frag、Fragnesia,本週有研究人員公布新的變種DirtyDecrypt(DirtyCBC),Tharros首席漏洞分析師Will Dormann認為,該漏洞有可能已在4月下旬完成修補

2026-05-19

網路安全 | CVE-2026-0265

研究人員警告PAN-OS身分驗證繞過漏洞的危險程度恐被低估

通報防火牆作業系統PAN-OS身分驗證繞過漏洞CVE-2026-0265的研究人員Harsh Jaiswal指出,該漏洞的風險達到重大(critical)等級,非常危險,而且影響範圍同時涵蓋了VPN系統GlobalProtect

2026-05-19

政策法規 | CRA | 歐盟網路韌性法 | SBOM | 軟體供應鏈安全 | 法規遵循 | 資安治理 | 漏洞通報 | 供應鏈風險

歐盟《網路韌性法案》今年9月施行,產品安全通報時限成法遵門檻,僅四分之一企業將SBOM驗證納入自動化

軟體套件與元件管理平臺業者Cloudsmith調查指出,多數企業雖已能產出軟體物料清單(SBOM),但相關管理與治理流程仍未完成自動化,也讓歐盟《網路韌性法》上路前的法遵與供應鏈風險準備落差浮上檯面

2026-05-19