Fortinet | 安全更新 | 資安漏洞

Fortinet修補旗下FortiSIEM等產品2重大漏洞

Fortinet旗下安全資訊與事件管理平臺FortiSIEM存在重大風險漏洞,可讓未經驗證的攻擊者在受害裝置上執行非授權程式或指令

2026-01-15

資安日報

【資安日報】1月14日,微軟修補3個零時差漏洞,其中1個已出現攻擊行動

本週二有許多軟體業者發布1月份例行更新,其中最受到關注的部分,是微軟公布的資安漏洞,其中有桌面視窗管理員(Desktop Window Manager,DWM)漏洞CVE-2026-20805已遭到利用,成為各界的焦點

2026-01-14

衛福部 | 主權雲 | 在地化 | 醫療上雲 | AI | 加密 | 金鑰 | 授權 | 刪除

衛福部公布主權雲八大方針,醫療雲端採購新基準出爐

衛福部首度公布主權雲端八大指導方針,將資料加密、用途限制、維運人員主權和系統韌性等要求,納入衛福部雲端治理和採購基準。未來醫療與高敏感資料不再只是能不能上雲,而是必須先回答是否符合這八條底線。

2026-01-14

Python軟體基金會 | Anthropic | PyPI | 供應鏈攻擊 | 開源

Anthropic捐150萬美元挺Python基金會,強化PyPI供應鏈防護

Python軟體基金會與Anthropic展開兩年合作,獲150萬美元資助,將用於強化CPython與PyPI安全,開發套件主動審查工具與惡意軟體資料集,以降低供應鏈攻擊風險並支援基金會營運

2026-01-14

node.js | async_hooks | AsyncLocalStorage | CVE-2025-59466 | DOS

Node.js修補堆疊耗盡DoS風險,React、Next.js與應用效能監控工具受波及

Node.js釋出安全更新,官方警告在啟用async_hooks的情況下,堆疊耗盡可能繞過既有例外處理而使程序直接退出,影響涵蓋React、Next.js與導入APM的常見部署情境

2026-01-14

adobe | ColdFusion | Apache Tika | CVE-2025-66516

Adobe為ColdFusion修補Apache Tika滿分漏洞,呼籲用戶優先處理

Adobe發布一月份例行更新,其中最受到矚目的部分,是存在於在網頁應用程式開發平臺ColdFusion的滿分漏洞,此漏洞出現在第三方元件Apache Tika,CVSS評分達到10分

2026-01-14

SAP | Security Patch Day | CVE-2026-0501 | CVE-2026-0500 | CVE-2026-0498 | CVE-2026-0491 | S/4HANA | Wily Introscope Enterprise Manager | Landscape Transformation

SAP發布1月例行更新,修補SQL注入、程式碼注入,以及遠端程式碼執行的重大漏洞

本週SAP發布1月例行更新,其中為S/4HANA、Wily Introscope Enterprise Manager,以及Landscape Transformation修補重大層級漏洞,而受到關注

2026-01-14

Patch Tuesday | DWM | Agere

微軟1月修補3個零時差漏洞,其中1個已被用於實際攻擊、2個已公開

微軟在1月例行更新修補零時差漏洞CVE-2026-20805、CVE-2026-21265,以及CVE-2023-31096,其中的CVE-2026-20805,已被用於實際攻擊行動

2026-01-14

美國國會 | 電子郵件系統 | 網路攻擊 | 政府資安 | 美國眾議院

美國國會電子郵件系統疑似遭中國駭客入侵

據英國《金融時報》報導,美國國會幕僚使用的電子郵件系統疑似遭到中國駭客入侵,受影響對象涉及多個具關鍵立法影響力的眾議院委員會成員

2026-01-14

Salesforce | 配置錯誤 | AuraInspector

Google Mandiant開源可偵測Salesforce配置錯誤之工具,避免企業資料外洩

Google旗下資安服務Mandiant發現Salesforce Experience Cloud存在配置不當問題,釋出偵測工具AuraInspector協助企業辨識

2026-01-14

Chrome 144 | Chrome安全更新 | 資安露洞

Google發布Chrome 144桌面版更新,修補3項高風險漏洞

Google推出桌面版Chrome 144穩定更新,適用於Windows、Mac與Linux平臺,一共修補10項資安漏洞,其中包含3項高風險漏洞,主要影響V8與Blink等核心元件

2026-01-14

Apex Legends | Respawn | 遠端控制輸入

Apex Legends爆出角色遭遠端操控與強制斷線事件,開發商Respawn已修復但未說明原因

Apex Legends疑似出現遠端干預輸入事件,玩家在連線正常下仍可能遭他人介入操作,Respawn稱初步未見遠端程式碼執行跡象,數小時後表示已完成修復,但未公開成因與受影響範圍

2026-01-14

資安日報

【資安日報】1月13日,VMware ESXi零時差漏洞恐在兩年前就遭到利用

針對去年3月VMware揭虛擬化平臺ESXi的零時差漏洞CVE-2025-22224、CVE-2025-22225,以及CVE-2025-22226,近期有資安業者於攻擊活動看到漏洞利用工具包,研判駭客已在2024年初就掌握這些漏洞並加以利用

2026-01-13

竊資軟體 | Infostealer | Zestix | Sentap | ShareFile | Nextcloud | ownCloud | EFSS

駭客兜售50家大型企業的內部資料,疑透過員工電腦竊得帳密,入侵雲端檔案共用環境而得逞

威脅情報公司Hudson Rock揭露一起相當不尋常的大規模資料外洩事故,代號為Zestix(Sentap)的駭客在暗網兜售50家企業的內部資料,他得逞的原因,竟是因為企業並未定期要求更換密碼,以及未採用多因素驗證(MFA),使得此人能透過竊資軟體偷到的帳密資料,直接存取企業的雲端檔案共享平臺

2026-01-13

npm | n8n | 資料外洩

惡意NPM套件鎖定工作流程自動化平臺n8n而來,目的是竊取用戶的Google Ads憑證

工作流程自動化平臺n8n越來越受到歡迎,現在也成為駭客下手的目標,資安公司Endor Labs揭露專門針對該平臺的供應鏈攻擊,駭客假借提供特定擴充功能的社群節點(Community Node),然後在n8n工作流程執行的過程裡,竊取用戶的Google Ads憑證

2026-01-13