新聞 Ruby, 垃圾回收, YJIT

Ruby 3.4推全新it語法與模組化垃圾回收機制,大幅提升效能與開發效率

Ruby 3.4強調效能與開發效率提升,新增it區塊參數引用簡化語法,模組化垃圾回收機制擴展應用彈性,而YJIT則強化記憶體管理並加速執行

2024-12-26

新聞 Ruijie, 銳捷, Reyee, CVE-2024-47547, CVE-2024-48874, CVE-2024-52324, CVE-2024-47146

中國一家網路設備廠商的雲端集中管理平臺存在重大漏洞,攻擊者有機會用來控制列管設備

中國網路設備業者銳捷網路(Ruijie Networks)經營的雲端設備管理平臺Reyee存在多項漏洞,將有機會讓攻擊者從管理平臺在列管裝置執行任意程式碼,通報漏洞的資安業者Claroty指出,這些弱點同時影響主控臺及連接的連網裝置

2024-12-27

新聞 CVE-2024-49113, LDAPNightmare, GitHub, PoC, Infostealer

LDAPNightmare概念驗證程式碼遭人複製而冒用,在GitHub散布惡意軟體

資安業者趨勢科技對其他研究員提出警告,有人假借提供本月初資安業者SafeBreach公布的CVE-2024-49113(LDAPNightmare)概念驗證(PoC)程式碼,意圖竊取受害電腦的各式資訊

2025-01-13

新聞 Mastodon, 聯邦宇宙, ActivityPub

Mastodon專案所有權將由創辦人轉移至非營利公司

Mastodon所有權將從原本創辦人Eugen Rochko個人擁有,轉移至歐洲非營利組織,確保其獨立性和永續發展,Eugen Rochko將專注產品策略和技術發展

2025-01-15

新聞 普萊德, Planet, CVE-2024-48871, CVE-2024-52320、

普萊德一款工業交換器存在重大漏洞,攻擊者有機會用來遠端執行任意程式碼

本週資安業者Claroty揭露他們在臺廠普萊德科技(Planet Technology)工業交換器WGS-804HPT找到的弱點,其中有兩項相當嚴重,攻擊者有機會遠端用來執行任何程式碼

2025-01-21

新聞 俄羅斯駭客, TA446, TAG-53, UNC4057, Star Blizzard, Seaborgium, WhatsApp

俄羅斯駭客Star Blizzard鎖定政府官員與研究人士而來,意圖透過網釣挾持他們的WhatsApp帳號竊密

微軟威脅情報團隊揭露俄羅斯駭客Star Blizzard(TA446、TAG-53、UNC4057)去年11月發起的攻擊行動,指出這次手法出現重大變化,駭客意圖挾持受害者的WhatsApp帳號,從對話內容挖掘機密

2025-01-22

新聞 JDK 24, Rampdown第二階段, Java語言現代化, 後量子安全, JEP功能更新

JDK 24進入Rampdown第二階段,新版更新重點聚焦語言現代化與後量子安全

JDK 24功能開發完成,重點更新包括語言現代化與後量子安全技術,提升開發效率與安全性,正式版計畫2025年3月發布

2025-01-23

新聞 WordPress, 房地產, RealHome, Easy Real Estate, CVE-2024-32444, CVE-2024-32445

供房地產網站使用的WordPress佈景主題、外掛存在重大漏洞,攻擊者有機會得到3萬個網站的管理權限

資安業者Patchstack揭露房仲網站WordPress佈景主題RealHome、外掛程式Easy Real Estate的重大漏洞CVE-2024-32444、CVE-2024-32445,並指出迄今開發商不予理會此事,用戶應停用這些元件避免曝險

2025-01-24

新聞 資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 資料竊取, 殭屍網路

【資安週報】0120~0124,國家級駭客攻擊全球,網路間諜攻擊威脅大增,電信產業成2024年重災區

回顧1月第三星期資安新聞的主要焦點,首先是針對國家級駭客攻擊態勢的最新進展:電信業在2024年已成駭客攻擊頭號目標;在資安事件方面,所羅門集團兩家公司同日發布資安重訊,以及中國駭客入侵韓國VPN業者IPany發動供應鏈攻擊,還有多項殭屍網路攻擊的揭露受矚目

2025-01-25

新聞 川普, TikTok

傳美國政府協調甲骨文等公司洽談收購TikTok

根據非營利組織NPR取得的消息,川普正在和甲骨文等美國科技業者商討,透過取得TikTok全球業務的過半股權,取代拜登任內通過的TikTok禁令

2025-01-26

新聞 OpenAI, ChatGPT

ChatGPT Canvas擴及macOS版程式,底層模型升級到o1

OpenAI最近宣布ChatGPT工作區介面Canvas有功能更新:Canvas可使用o1模型,能在macOS版本的應用程式當中使用

2025-01-27

新聞 資安日報

【資安日報】2月4日,美荷執法單位聯手,撤下提供商業郵件詐騙武器的地下市集

針對商業郵件詐騙(BEC),美國與荷蘭近日在執法上出現突破,他們掌控駭客組織Saim Raza(或稱HeartSender)用於兜售作案工具的網域

2025-02-04

新聞 資安日報

【資安日報】2月7日,義大利政府驚傳利用間諜軟體Paragon監控記者及異議人士

根據衛報(The Guardian)的報導,一月底WhatsApp揭露的間諜軟體攻擊行動,背後的主謀傳出就是義大利政府,打造間諜軟體的軟體開發業者也終止相關合約

2025-02-07

新聞 資安日報

【資安日報】2月10日,150家企業組織的AD聯合身分驗證服務系統遭鎖定,駭客藉此挾持帳號

資安業者Abnormal Security揭露一起主要針對教育機構而來的大規模網釣攻擊,駭客鎖定AD聯合身分驗證服務服務(ADFS)下手,從而成功突破多因素驗證(MFA)並挾持Microsoft 365帳號

2025-02-10

新聞 Nvidia, JPEG2000, nvJPEG2000, CVE-2024-0142, CVE-2024-0143, CVE-2024-0144, CVE-2024-0145

Nvidia修補圖像處理程式庫漏洞,若不處理攻擊者可藉由特製JPEG2000檔案觸發

Nivida近期針對JPEG2000圖片編碼程式庫nvJPEG2000修補一系列與越界寫入(OBW)與記憶體緩衝區溢位漏洞,值得留意的是,通報此事的思科指出,這些漏洞非常嚴重,而且相當容易利用

2025-02-18

新聞 資安日報

【資安日報】2月19日,新型態名稱混淆攻擊手法鎖定雲端環境的虛擬機器映像檔而來,數千個AWS帳號受害

雲端服務監控業者Datadog揭露一種專門針對AWS雲端環境的名稱混淆攻擊手法,攻擊者可藉由上傳、共用特定名稱的Amazon Machine Image(AMI),就有機會遠利用受害者的AWS帳號執行任意程式碼

2025-02-19

新聞 Linux, Auto-color, libcext.so.2

北美及亞洲政府機關、大學遭Linux後門程式Auto-Color鎖定

資安業者Palo Alto Networks揭露去年底發現的後門程式Auto-Color,駭客鎖定北美及亞洲政府機關、大學下手,入侵Linux主機從事相關活動

2025-02-27

新聞 OpenAI, Deep Research

OpenAI將Deep Research推向所有付費用戶

OpenAI將能夠自動執行網路資料搜尋研究的Deep Research功能,從ChatGPT Pro擴大提供給其他付費方案用戶

2025-02-28