今日最新

當IT與OT產品的漏洞已成常態風險，確保產品資安已成廠商與用戶必須正視的挑戰，否則只會讓資安威脅的風險持續累積，國際法規也將產品資安列入基本要求，這次我們整理3家臺灣廠商的實務經驗，帶大家深入了解產品漏洞應對作法，以及如何落實安全開發與維護。

一般人都會認為，CVE漏洞數量越多，代表越不安全，全球最大漏洞懸賞計畫ZDI計畫負責人則有不同看法

專注於工業自動化與通訊設備的四零四科技（Moxa），早年投入研究IEC 62443標準的安全性要求，到了3年前更進一步成立產品資安中心（PSC），以更完善的方式逐步推動落實與精進

主打專業NAS儲存設備的威聯通科技（QNAP），多年前加入MITRE CNA計畫與FIRST組織，重視研究人員通報與事件應變強化，近年更積極推動漏洞懸賞計畫，並聚焦安全開發的升級

產品資安的發展成為全球科技產業關注焦點，許多原本只被視為最佳實務的資安作法，現已提升為法規強制要求，尤其是2024年12月歐盟網路韌性法（CRA）正式生效，將於2027年全面上路

.NET SOAP HTTP用戶端代理存在設計缺陷，透過WSDL匯入可將請求寫入伺服器檔案，在多款企業產品造成遠端程式碼執行與NTLM雜湊外洩風險

新版Android間諜軟體ClayRat強化鎖定畫面與螢幕攻擊，可自動解鎖手機、錄製畫面與偽造通知，攔截驗證簡訊與App操作內容

資安業者Huntress與Sysdig提出警告，他們看到有人不斷投入利用CVE-2025-55182（React2Shell）的情況，其中有人試圖綁架Linux主機來挖礦及建置殭屍網路，也有北韓駭客用於散布惡意程式EtherRAT

Google將擴大推出官方的全託管遠端MCP伺服器，包括Google Maps、BigQuery、Google Compute Engine及Google Kubernetes Engine（GKE）

Adobe透過代理式AI技術及模型脈絡協定（MCP），讓ChatGPT用戶可直接於聊天介面中呼叫使用Adob​​e應用程式