資安

資安周報

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 供應鏈攻擊

【資安週報】1201~1205,臺灣有6家業者分別傳出遭勒索軟體攻擊的消息

在2025年12月第一星期資安新聞中,最多人關注的是勒索軟體針對臺灣產業攻擊的狀況,有6家業者遭入侵;韓國金融業前陣子亦遭受勒索軟體Qilin襲擊,如今指出是當地MSP業者GJTec遭駭成為入侵管道,此供應鏈攻擊導致超過20家資產管理公司的資料遭竊,研判是北韓國家級駭客發動

2025-12-08

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊

【資安週報】1122~1126,LINE資安弱點揭露受關注。Salesforce針對Gainsight遭駭示警

回顧2025年11月最後一週資安新聞,最多人關注的消息是即時通訊軟體LINE被揭露存在資安弱點;還有兩起攻擊事件與威脅研究值得留意,包括Salesforce示警Gainsight遭駭導致相關威脅再度浮現,以及首次發現言論審查會影響開發安全,DeepSeek-R1處理政治敏感議題的提示時,產生嚴重資安弱點程式碼的機率顯著上升

2025-12-01

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 產品資安

【資安週報】1117~1121,電信業提供「小烏龜」已屆EoL,卻未主動幫用戶更換,邊緣裝置產品資安風險成焦點

在2025年11月第三星期資安新聞中,邊緣裝置的產品安全成為焦點,最受矚目是臺灣資安研究人員揭露「小烏龜」漏洞引發的安全疑慮,還有兩起攻擊活動的揭露,包括中國駭客鎖定華碩路由器攻擊以架設ORB網路匿蹤,以及中國駭客PlushDaemon入侵路由器竄改DNS的攻擊行動

2025-11-24

PCIe | 安全漏洞 | CVE-2025-9613 | CVE-2025-9614 | CVE-2025-9612

PCIe完整性與資料加密處理出現漏洞,恐面臨資訊洩露、拒絕服務等資安風險,波及Intel、AMD處理器

PCIe標準的完整性與資料加密(IDE)安全機制存在3項資安漏洞,PCI-SIG修訂相關規格進行修補

2025-12-15

Docker Hub | 容器映像檔 | 憑證外洩

逾1萬個Docker Hub映像檔曝露憑證與API金鑰

研究人員發現,公開於網上的Docker Hub中的容器映像檔,內含AI模型、API金鑰及多種憑證,可能造成軟體供應鏈攻擊

2025-12-15

蘋果 | 零時差漏洞 | WebKit | CVE-2025-14174 | CVE-2025-43529 | Chrome | 466192044

蘋果修補兩個零時差漏洞,並指出已被用於極度複雜的攻擊行動

上週五蘋果發布行動裝置、電腦,以及穿戴裝置發布大型更新,其中最值得留意的部分,是已有兩個已遭利用的WebKit零時差漏洞,用戶應儘速套用更新

2025-12-15

微軟 | 漏洞獎勵 | 第三方元件 | 開源元件

微軟更新雲端漏洞獎勵政策,第三方元件影響也納入評估

源自第三方或開源元件的資安弱點,一但對微軟線上服務造成實際影響,微軟承諾一併納入漏洞獎勵範圍

2025-12-15

酷澎 | 個資外洩

酷澎韓國辦公室遭警方搜索 執行長為資料外洩公開致歉辭職

韓國最大電商酷澎(Coupang)發生3,370萬人個資外洩,警方搜查該公司辦公室,執行長公開道歉且請辭以示負責

2025-12-15

資安日報 | 台郡

【資安日報】12月12日,惡意軟體NanoRemote濫用Google Drive的API從事通訊

曾經濫用微軟Graph API的中國駭客近期再度出手,打造新的惡意程式NanoRemote,最大的不同之處,在於他們利用了Google Drive的API來進行C2通訊

2025-12-12

ClickFix | ConsentFix | OAuth | 同意網路釣魚 | Azure CLI | Cloudflare Turnstile

新型態手法ConsentFix結合OAuth同意網路釣魚,透過Azure CLI騙取微軟帳號

有人透過Google廣告、冒牌Cloudflare Turnstile圖靈驗證,並要求使用者進行特定身分流程,然後複製及貼上特定URL內容,意圖藉由Azure CLI進行新型態的網釣攻擊ConsentFix,揭露此事的資安公司警告,這種手法更加難以偵察及攔截,企業須提高警覺

2025-12-12

128Gb FC | Brocade Gen8 | PQC | quantum-safe

儲域網路進入128G FC時代,博科第8代產品結合AI與量子安全

經過5年的發展,博科光纖通道網路的產品邁入第8代,推出128Gb FC交換器設備

2025-12-12

CVE-2025-8110 | 零時差漏洞 | Gogs | Git | Symbolic Link | PutContents | SuperShell

駭客利用Gogs零時差漏洞入侵逾700臺伺服器

資安業者Wiz提出警告,有人試圖對曝露在網際網路上的Git伺服器Gogs下手,利用目前尚未修補的零時差漏洞CVE-2025-8110犯案,呼籲IT人員限縮存取Gogs系統的管道因應

2025-12-12

React Server Components | DOS | CVE-2025-55184 | CVE-2025-55183

React伺服器元件追補安全更新,修正DoS與原始碼洩露漏洞

React Server Components再爆3個新漏洞,含2個DoS與1個原始碼洩露,官方強調不涉及遠端程式碼執行,但先前修補不完整,已升級者仍需再更新到19.0.3、19.1.4或19.2.3

2025-12-12

adobe | 安全更新 | ColdFusion

Adobe發布12月安全更新,ColdFusion藏多個重大漏洞應優先處理

Adobe在12月例行更新修補多項產品漏洞,其中ColdFusion因存在數個重大安全弱點,Adobe建議用戶優先部署相關更新

2025-12-12

資安月報 | 資安週報 | 資安一周 | IT周報 | 資安大事記 | 資安事件 | 漏洞修補 | 勒索軟體 | 資料外洩 | 惡意程式 | 零時差漏洞利用 | 資安事件公告

【資安月報】2025年11月,「小烏龜」資安風險恐衝擊國家安全。網路詐騙防範挑戰備受關注

回顧2025年11月資安新聞,研究人員揭露電信業提供數據機的資安風險最受關注,以及本月封面故事聚焦於網路詐騙防範議題介紹,還有其他重要資安新聞不容錯過,包括中國資安公司知道創宇資料外洩事件,以及Salesforce供應鏈相關威脅再度浮現,Oracle EBS零時差漏洞攻擊受害者陸續曝光,也屢屢登上本月新聞版面

2025-12-12

google | Chrome | Chrome 143 | 466192044 | LibANGLE

Google修補Chrome今年第8個零時差漏洞

Google發布Chrome 143更新,修補一個未有CVE編號、目前正在協調處理的零時差漏洞,並指出該漏洞已被用於實際攻擊,用戶最好儘速套用更新

2025-12-12

VS Code | 擴充套件 | Bitcoin Black | Codo AI | Lightshot DLL劫持

VS Code市集兩擴充套件暗藏惡意程式竊取WiFi密碼與Cookie

兩款上架VS Code市集的主題與AI擴充套件被發現暗藏惡意程式,會截圖並讀取WiFi密碼與瀏覽器Cookie竊取帳號,目前已從市集下架

2025-12-12

2025產品資安實務大公開

當IT與OT產品的漏洞已成常態風險,確保產品資安已成廠商與用戶必須正視的挑戰,否則只會讓資安威脅的風險持續累積,國際法規也將產品資安列入基本要求,這次我們整理3家臺灣廠商的實務經驗,帶大家深入了解產品漏洞應對作法,以及如何落實安全開發與維護。

2025-12-12