新聞 Adob​​e Commerce, Magento, CosmicSting, CVE-2024-34102, Glibc, iconv, CVE-2024-2961

75%的Magento電商平臺恐存在重大資安漏洞CosmicSting,若不設法修補,攻擊者有可能取得完整控制權

針對Adobe本月修補電商平臺Adob​​e Commerce及Magento Open Source的資安弱點CosmicSting(CVE-2024-34102),資安業者Sansec提出警告,這是歷年來該電商平臺最嚴重的漏洞之一,網站管理者應儘速採取緩解措施因應

2024-06-24

新聞 Flax Typhoon, Ethereal Panda, 中國駭客, RedJuliett, 2024臺灣總統大選

中國駭客組織RedJuliett近半年鎖定臺灣75個組織發動攻擊,目標主要是高科技產業,但外交經濟、社會運動團體也遭鎖定

研究人員揭露中國駭客組織RedJuliett大規模的網路間諜活動,對方自去年11月至今年4月,試圖對臺灣75個組織發動攻擊,目的很有可能是為中國政府收集臺灣經濟、外交關係,以及關鍵技術研發的情報

2024-06-25

新聞 AI資料集, Dataset Providers Alliance, DPA, 機器學習, 著作權法

7家AI資料集供應商成立聯盟,推動符合著作權法的AI模型開發標準

包括全球音樂授權機構Rightsify在內的7家AI資料集供應商,宣布成立資料集供應商聯盟DPA,目標是推動訓練AI模型所使用資料的合法授權的透明度及標準化

2024-06-27

新聞 漏洞揭露, 工業控制系統, 西門子

研究人員針對西門子修補的SICAM設備漏洞提出警告,若不修補有可能被用於針對能源產業攻擊

針對通報的西門子能源工業控制系統SICAM漏洞,研究人員公布相關細節,由於這些漏洞的存在,攻擊者得以從中竊取敏感資料、提升權限、甚至讀取特定的密碼

2024-06-27

新聞 TeamViewer, 俄羅斯, 網路攻擊

TeamViewer疑遭俄羅斯駭客駭入,但強調產品未受影響

TeamViewer公告在6月26日偵測到公司網路遭入侵,攻擊來源疑似是俄羅斯,但不影響其產品環境或客戶資料

2024-07-01

新聞 Cisco, 思科, NX-OS, 零時差漏洞, CVE-2024-20399

思科針對網路設備作業系統NX-OS零時差漏洞提出警告,中國駭客Velvet Ant將其用於散布惡意軟體

本週思科公布旗下網路設備作業系統NX-OS的漏洞CVE-2024-20399,並指出已在3個月前出現攻擊行動,通報此事的資安業者Sygnia表示,中國駭客Velvet Ant已將其用於網路間諜活動

2024-07-02

新聞 OpenAI, MacOS, ChatGPT

ChatGPT macOS程式以明文儲存用戶交流訊息

在macOS版的ChatGPT程式中,OpenAI忘了不該以明文存放使用者與ChatGPT之間的對話,直到被外部開發人員發現才修正

2024-07-04

新聞 IT周報, 生成式AI, 後Cookie時代, 機器學習, 精準行銷, 第一方數據, 自動化行銷

Martech雙周報第57期:GA4將支援跨通路廣告成效數據蒐集,並新增AI生成分析報告功能

本期Martech雙周報重點:GA4將支援跨通路網站數據分析,並用AI生成分析結果的功能;Martech之父:未來是AI代理人做自動化行銷的時代,MartechAPI易用性是先決條件;Google Ad開始支援程序化投放廣告到Email電子報版位

2024-07-08

新聞 GootLoader 3.0, 惡意程式載入工具, UNC2565, Hive0127, SEO poisoning, GootBot

惡意軟體載入工具GootLoader透過多階段攻擊鏈散布,駭客佯稱提供法律文件範本引誘使用者上當

研究人員針對惡意軟體載入工具GootLoader的攻擊行動升溫提出警告,指出駭客組織UNC2565開發新版本,並提供橫向移動工具,企圖吸引其他網路罪犯使用來牟取經濟利益

2024-07-08

新聞 Windows, 記事本, Notepad, 拼字檢查, 自動修正

40歲的Windows記事本終於有拼字檢查、自動修正功能

微軟除了替記事本(Notepad)加入字數計算、分頁、整合Copilot等現代化功能,近期還正式幫這個Windows元老級App加入拼字檢查以及自動修正工具

2024-07-09

新聞 Dark web report, google

Google即將開放暗網監控功能予所有用戶

原本只提供給Google One訂閱用戶的暗網監控功能,Google決定全面開放給所有Google帳戶使用者,協助用戶確認其個資是否流入暗網

2024-07-10

新聞 Ghostscript, 漏洞揭露, 漏洞攻擊

文件轉換程式庫Ghostscript存在RCE漏洞,傳出已被用於攻擊行動

研究人員針對文件轉換程式庫Ghostscript今年5月修補的遠端程式碼執行(RCE)漏洞CVE-2024-29510提出警告,指出他們在通報的資安業者公布漏洞細節後,已經出現相關攻擊

2024-07-11

新聞 漏洞揭露, GitLab

GitLab發布社群版及企業版更新,修補能讓任意用戶執行自動化工作Pipeline的重大漏洞

上週GitLab再度發布重大修補更新,處理重大層級的漏洞CVE-2024-6385,若不套用更新,攻擊者有機會冒用其他使用者的名義執行Pipeline工作流程,值得留意的是,不久前GitLab維護團隊才緩解類似型態的弱點

2024-07-15

新聞 Exim, CVE-2024-39929

Exim修補可用以寄送惡意附件的重大漏洞

7月10日公布的郵件傳輸代理(MTA)平臺軟體Exim 4.98版本,修補可讓攻擊者發送帶有惡意附件的信件給用戶的重大漏洞

2024-07-15

新聞 卡巴斯基, 美國

卡巴斯基關閉美國營運、裁員

在美國政府因國安問題全面封殺卡巴斯基防毒產品後,迫使這家來自俄國的資安業者準備關閉美國分公司

2024-07-16

新聞 Youtube, AI模型, 資料集

蘋果、Nvidia等公司被控未經同意使用YouTube文字內容訓練AI

調查報導媒體Proofnews分析發現,蘋果、Nvidia、Anthropic及Salesforce等業者,使用內含YouTube平臺17萬則公開影片字幕的《The Piles》資料集來訓練其AI模型,但《The Piles》資料集建立者並未取影片作者的使用許可

2024-07-17

新聞 IT周報, FinOps, 迪士尼, 日立建機, 雲原生

Cloud周報第203期:迪士尼揭五年雲端財務管理策略,借助FinOps團隊支援高達數千項技術的雲成本管控

隨著雲端成本增加,迪士尼近幾年開始思考如何控管雲端成本,並導入FinOps雲端財務維運方法。迪士尼近日分享了過去五年雲端財務管理策略演進和FinOps實踐。

2024-07-10

新聞 iThome 2024 CIO大調查, CIO大調查, 生成式AI, GAI

【iThome 2024 CIO大調查系列4|GAI趨勢】93位CIO與CISO如何因應生成式AI挑戰(下)

真正能產生商業價值的GAI應用尚未發生,主要是多數的應用是優化內容生產的方式,但未優化商業流程,企業的挑戰會來自非傳統的競爭對手,以不同的商業模式改變遊戲規則── 銀行資安長

2024-07-23