新聞 Jenkins, CSRF, open redirect, CVE-2016-3724

CI持續整合工具Jenkins修補多個中度風險漏洞,類型涵蓋CSRF、開放重新導向、機敏資訊曝露

上週CI工具Jenkins發布資安公告,修補中度風險漏洞CVE-2025-27622、CVE-2025-27623、CVE-2025-27624、CVE-2025-27625,這些漏洞有機會讓攻擊者讀取經加密處理的帳密資料,或是發動跨網站請求偽造(CSRF)及開放重新導向(Open Redirect)攻擊

2025-03-10

新聞 AI21 Labs, Maestro, 生成式AI, LLM

AI21發表企業級AI規畫與調度平臺,解決LLM輸出不穩定的問題

AI21 Labs Maestro平臺強化大型語言模型生成結果的驗證與調度,協助企業掌控人工智慧應用準確性,並降低維運負擔

2025-03-11

新聞 PyPI, Python, 開源治理, 套件託管, 組織帳戶

PyPI推付費帳戶與治理新條款,開源社群憂平臺營運轉向

PyPI將於3月27日實施新版服務條款,推付費組織帳戶並強化管理權,引發社群對治理透明度與開源原則爭議

2025-03-11

新聞 西門子, ICS, Sinamics S200, CVE-2024-56336, Bootloader

西門子公告伺服驅動馬達設備Sinamics S200重大漏洞,若不處理攻擊者可用來植入惡意韌體

西門子指出伺服驅動馬達設備Sinamics S200存在重大資安漏洞CVE-2024-56336,起因是部分裝置搭配了未鎖定的開機載入工具(bootloader),使得攻擊者能藉此破壞安全機制帶來危害

2025-03-14

新聞 Cisco, 思科, IOS XR, CVE-2025-20115

思科修補IOS XR的BGP聯盟實作漏洞,若不處理恐面臨DoS服務中斷攻擊

國內外資安媒體針對上週思科修補的中度風險漏洞CVE-2025-20115提出警告,指出這項存在於邊界閘道協定(BGP)的弱點有可能相當危險,IT人員應儘速採取行動因應

2025-03-18

新聞 WordPress, 會員系統, User Registration & Membership, CVE-2025-2563

提供會員系統的WordPress外掛存在重大漏洞,6萬網站受到波及

資安業者Wordfence針對網站會員系統外掛程式User Registration & Membership用戶提出警告,指出此WordPress外掛程式存在未經身分驗證權限提升漏洞CVE-2025-2563,用戶應儘速套用新版程式修補

2025-03-27

新聞 Island, Enterprise Browser, 企業瀏覽器

專門開發Chromium企業瀏覽器的Island完成2.5億美元的E輪融資

Island強調其企業級瀏覽器服務,得以深入控制使用者與所有SaaS及內部網頁應用程式的互動方式,協助企業落實資安控管政策

2025-03-27

新聞 Hyperlight, wasm, 微軟虛擬機, WebAssembly執行環境, 雲端原生, 邊緣運算

微軟推出可執行多語言元件的超快速虛擬機Hyperlight Wasm

微軟推出Hyperlight Wasm,支援多語言Wasm元件於無作業系統虛擬機執行,高速啟動達1毫秒,提升雲端與邊緣運算彈性與安全性

2025-03-28

新聞 Ubuntu, AppArmor, Unprivileged User Namespace, aa-exec, busybox, LD_PRELOAD

Ubuntu出現可繞過內建防護機制的弱點,若與核心元件漏洞串連將造成重大危害

資安業者Qualys揭露Ubuntu作業系統安全防護機制繞過漏洞,攻擊者有機會利用aa-exec、busybox,或是LD_PRELOAD觸發,從而繞過該系統內建的資安防護機制AppArmor

2025-03-31

新聞 資安日報

【資安日報】4月2日,駭客聲稱握有28億筆X用戶詳細資料

近期有人在駭客論壇上聲稱,他們偷到社群網站X(推特)、資安業者Check Point的內部資料,其中尤以X的部分相當受到關注,因為駭客宣稱握有多達28億筆用戶資料

2025-04-02

新聞 IT周報, 語音合成, 腦波, 衛福部, 智慧醫療, 高醫體系, 復康巴士, Google DeepMind, 勒索軟體

MedTech醫療科技雙周報第41期:用想的就能說話,最新技術可即時合成更自然的語音

美國研究團隊突破語音腦機介面延遲瓶頸,開發出可即時將大腦訊號轉為語音的技術;衛福部揭健康臺灣深耕計畫,鎖定智慧科技醫療等4領域;Google DeepMind揭露3項蛋白質結構預測應用;FBI警告醫療健康等產業業者小心Medusa勒索軟體

2025-04-07

新聞 甲骨文, Oracle Cloud, 資料外洩

傳甲骨文向雲端客戶通報資料外洩

雖然甲骨文否認今年3月間媒體報導的Oracle Cloud代管客戶資料外洩事故,但後續彭博相關報導顯示,有至少兩家企業接獲甲骨文私下通知資料外洩事件

2025-04-09

新聞 JRuby, Ruby, Java, Rails, JVM

JRuby 10整合Ruby 3.4與Java 21全面升級執行效能與相容性

JRuby 10提升Ruby與Java相容性、執行效能,預設啟用invokedynamic最佳化,加快啟動與處理速度,支援企業級Rails部署並擴展Ruby於JVM應用場景

2025-04-17

新聞 Meta, 青少年帳戶, AI, 身分驗證

Meta將利用AI來辨識那些偽裝成人的青少年帳戶

Meta去年開始在旗下社交平臺部署具備家長監控功能的青少年專用帳戶,如今為了加速落實對青少年的保護措施,開始測試以AI技術辨識疑似謊報年齡的用戶

2025-04-22

新聞 Chrome, 反壟斷, Google搜尋

Perplexity AI、DuckDuckGo及Yahoo都想將Chrome納入麾下

在反壟斷聽證會上,被問到要是法院命令Google剝離Chrome瀏覽器,以緩解Google獨占網路搜尋市場的問題,除了OpenAI,Perplexity AI、DuckDuckGo及Yahoo這三家搜尋服務業者,也表態有意願收購身價上看500億美元的Chrome

2025-04-25

新聞 Jetpack Compose, Android開發, AutoFill, UI

Jetpack Compose 1.8推出自動填寫支援並提升文字與動畫表現

官方Android原生UI工具包Jetpack Compose 1.8版本新增表單自動填寫支援,強化文字自適應與動畫過渡效果,並提升可視區域追蹤效能和API穩定性

2025-04-28

新聞 LockBit, Phorpiex, 勒索軟體, 自動化攻擊

惡意軟體下載工具Phorpiex被用於散布LockBit 3.0勒索軟體

Cybereason發現Phorpiex成為LockBit 3.0自動化投遞工具,攻擊流程無需人為操作,由於Phorpiex過去也被用於傳送TWIZT、GandCrab等惡意程式,凸顯其模組化設計具高度重用性

2025-05-05

新聞 資安日報

【資安日報】5月6日,惡意軟體Phorpiex捲土重來,被用於散布LockBit 3.0及其他作案工具

散布勒索軟體LockBit出現新的管道!資安業者Cybereason發現,有一段時間沒有活動的惡意程式Phorpiex,近日駭客再度使用,目的是在受害電腦載入作案工具,其中最受到關注的,就是LockBit

2025-05-06