【資安日報】12月18日,日本電商Askul公布勒索軟體攻擊事故調查結果
兩個月前日本無印良品網路商站部分業務出現中斷,原因是日本B2B電子商務與物流公司Askul遭勒索軟體攻擊,近期Askul發布調查報告說明,整起事故發生的導火線,是業務委外端有管理者帳號未啟用多因素驗證(MFA)釀禍
2025-12-18
新聞 | OpenShift | GitOps | ArgoCD | CVE-2025-13888 | Red Hat
OpenShift GitOps存在重大提權漏洞,多租戶叢集恐遭跨命名空間接管
OpenShift GitOps出現漏洞CVE-2025-13888,命名空間管理權者可能跨域擴權並導致叢集接管,Red Hat已釋出更新,建議用戶升級並稽核權限綁定
2025-12-18
新聞 | React | CVE-2025-55182 | React2Shell | PoC
大量React2Shell概念驗證工具出現在GitHub,突顯漏洞極為容易利用
趨勢科技與VulnCheck兩家資安公司指出,他們近期看到有大量滿分資安漏洞CVE-2025-55182(React2Shell)概念驗證(PoC)工具,雖然品質參差不齊,但突顯漏洞利用難度不高,已有不同程式語言打造的工具
2025-12-18
新聞 | 思科 | Cisco | AsyncOS | CVE-2025-20393 | 中國駭客 | UAT-9686 | AquaShell | AquaTunnel
思科電子郵件閘道與網頁安全閘道存在滿分零時差漏洞,中國駭客已用於部署後門程式
思科針對郵件閘道設備Secure Email Gateway、郵件暨網頁安全閘道Secure Email and Web Manager用戶提出警告,有中國駭客利用風險值滿分的零時差漏洞CVE-2025-20393從事攻擊,呼籲IT人員要儘速採取行動因應
2025-12-18
新聞 | OpenAI | ChatGPT App | App目錄 | Apps SDK | MCP
OpenAI開放開發者送審ChatGPT內第三方App,上架後將可在目錄被搜尋
開發者可提交ChatGPT內使用的第三方應用程式送審,通過後在內建的App目錄上架,使用者連結後即可在對話中以@觸發App,官方現釋出Apps SDK測試版,首批過審App將在明年陸續上線
2025-12-18
Google將用來建置AI迷你應用的Opal工具整合至Gemini網頁版,讓使用者可透過Opal建立客製化AI助理機制Gem
2025-12-18
新聞 | LKQ | Oracle E-Business Suite | EBS
汽車零件大廠LKQ通報Oracle EBS資料外洩 影響近萬人
美國汽車零件大廠LKQ向主管機關通報Oracle E-Business Suite(EBS)遭駭,外洩將近一萬人個資
2025-12-18
新聞 | SonicWALL | SMA1000 | 零時差漏洞 | CVE-2025-40602 | CVE-2025-23006
SonicWall旗下VPN設備的管理主控臺存在零時差漏洞,已被用於攻擊行動
SonicWall本週針對旗下VPN設備SMA1000發布資安公告,修補設備管理主控臺(Appliance Management Console,AMC)中度風險漏洞CVE-2025-40602,並指出該漏洞已被用於實際攻擊,IT人員應儘速採取行動
2025-12-18
新聞 | Windows 10 | KB5071546
微軟12月安全更新造成Windows 10 PC、舊版Server IIS、MQ功能無法運作
KB5071546導致部分用戶安裝於Windows機器後,MSMQ無法運作,運作中的叢集MSMQ環境也受影響
2025-12-18
Google發表Gemini 3 Flash模型 比2.5 Pro還強大、更有效率
Google強調Gemini 3 Flash在多項測試中,效率與表現皆優於Gemini 2.5 Pro
2025-12-18