Notepad++更新遭挾持,傳出是中國駭客Lotus Blossom所為

針對開源記事本軟體Notepad++開發工程團隊揭露更新機制被駭客濫用的資安事故,資安公司Rapid7揭露相關調查結果,指出攻擊者的身分為中國駭客組織Lotus Blossom(Billbug、Thrip),並對受害電腦部署後門程式Chrysalis

新聞 | google | Chrome | Chrome 143 | 466192044 | LibANGLE

Google修補Chrome今年第8個零時差漏洞

Google發布Chrome 143更新,修補一個未有CVE編號、目前正在協調處理的零時差漏洞,並指出該漏洞已被用於實際攻擊,用戶最好儘速套用更新

2025-12-12

新聞 | google | AI瀏覽器 | Disco

Google公佈實驗性AI瀏覽器Disco、首項功能GenTabs

Google強調結合AI的Disco瀏覽器,可協助使用者提升學習和工作速度,首個測試的功能為GenTabs,是以最新LLM Gemini 3為底層開發

2025-12-12

新聞 | VS Code | 擴充套件 | Bitcoin Black | Codo AI | Lightshot DLL劫持

VS Code市集兩擴充套件暗藏惡意程式竊取WiFi密碼與Cookie

兩款上架VS Code市集的主題與AI擴充套件被發現暗藏惡意程式,會截圖並讀取WiFi密碼與瀏覽器Cookie竊取帳號,目前已從市集下架

2025-12-12

| 漏洞風險 | 法規遵循 | 產品資安 | oT | Secure by Design | 產品漏洞 | MITRE CNA | FIRST | 產品資安中心

消除產品資安盲點,減少可乘之機

一般人都會認為,CVE漏洞數量越多,代表越不安全,全球最大漏洞懸賞計畫ZDI計畫負責人則有不同看法

2025-12-12

新聞 | 漏洞風險 | 產品資安 | 產品安全 | ZDI | 產品漏洞 | 資安漏洞 | 趨勢科技 | CVE | CVE漏洞

【解讀全球資安漏洞數量暴增的現象】2025年CVE數量創新高,突顯風險意識抬頭

2025年CVE漏洞數量再創新高,全年逼近5萬個,超越2024年增加總數(40,303個)。ZDI計畫負責人Brian Gorenc指出,CVE數量增加不代表風險升高,反而象徵更多錯誤攤在陽光下,多數也會進入修補流程,這比漏洞長期存在卻沒被發現要安全

2025-12-12

新聞 | 漏洞風險 | 法規遵循 | 產品資安 | 產品安全 | 四零四科技 | IEC62443 | 產品資安中心 | PSIRT | SSDLC

【產品資安實務經驗:四零四科技】從依循IEC 62443到成立PSC,產品資安強化成為公司的長期工程

專注於工業自動化與通訊設備的四零四科技(Moxa),早年投入研究IEC 62443標準的安全性要求,到了3年前更進一步成立產品資安中心(PSC),以更完善的方式逐步推動落實與精進

2025-12-12

新聞 | 漏洞風險 | 法規遵循 | 產品資安 | 產品安全 | 威聯通科技 | QNAP | MITRE CNA | FIRST | SSDLC

【產品資安實務經驗:威聯通】主動公開與修補CVE弱點,再以漏洞懸賞與安全設計鞏固防線

主打專業NAS儲存設備的威聯通科技(QNAP),多年前加入MITRE CNA計畫與FIRST組織,重視研究人員通報與事件應變強化,近年更積極推動漏洞懸賞計畫,並聚焦安全開發的升級

2025-12-12

新聞 | 合勤 | 漏洞風險 | 法規遵循 | 產品資安 | 產品安全 | Secure by Design | 產品漏洞 | CSIRT | PSIRT

【產品資安實務經驗:合勤科技】不能只當漏洞救火隊,更要落實「設計即安全」

全球知名的網通設備大廠合勤科技(Zyxel),十年前曾面對一場產品資安重大危機,如今已將這項改善工程的推動從成本轉化為競爭力,去年底更簽署美國CISA推動的Secure by Design承諾,跟上國際產品安全發展潮流

2025-12-12

新聞 | 歐盟 | 網路韌性法 | 漏洞風險 | 法規遵循 | 產品資安 | Secure by Design | 產品漏洞 | 產品安全 | MITRE CNA

【當資安已成產品「內建」基本要求】漏洞風險與法規遵循壓力與日俱增,臺廠做好產品資安刻不容緩

產品資安的發展成為全球科技產業關注焦點,許多原本只被視為最佳實務的資安作法,現已提升為法規強制要求,尤其是2024年12月歐盟網路韌性法(CRA)正式生效,將於2027年全面上路

2025-12-12

新聞 | .NET Framework漏洞 | SOAPwn | WSDL | rce | 微軟

.NET Framework HTTP用戶端代理設計缺陷,結合WSDL匯入可構成RCE攻擊鏈

.NET SOAP HTTP用戶端代理存在設計缺陷,透過WSDL匯入可將請求寫入伺服器檔案,在多款企業產品造成遠端程式碼執行與NTLM雜湊外洩風險

2025-12-11

新聞 | AI Mode | google

因應AI時代資訊需求,Google推出首選來源與新聞合作計畫

Google調整AI Mode搜尋服務的呈現形式,試圖緩解出版商對流量遭AI排擠的疑慮

2025-12-11

新聞 | ClayRat | Android | 間諜軟體 | 無障礙服務

Android間諜軟體ClayRat再進化,新版可自動解鎖手機並遠端操控裝置

新版Android間諜軟體ClayRat強化鎖定畫面與螢幕攻擊,可自動解鎖手機、錄製畫面與偽造通知,攔截驗證簡訊與App操作內容

2025-12-11