JavaScript | 函式庫 | jsPDF | CVE-2025-68428

jsPDF修補重大漏洞,Node.js環境恐遭濫用竊取本機敏感資料

jsPDF的Node.js版本存在重大漏洞CVE-2025-68428,攻擊者可能透過生成的PDF檔案,未經授權存取伺服器本機檔案系統中的敏感資料

2026-01-12

資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 勒索軟體攻擊 | 國家級駭客攻擊

【資安週報】0105~0109,臺灣能源業遭受中共網駭情形在2025年暴增10倍,中國APT已形成舉國體制承包商生態系

在2026年1月第一個星期的資安新聞中,主要焦點是中國駭客威脅最新態勢出爐,臺灣國家安全局、情資公司TeamT5杜浦數位安全,相繼公布調查報告;美國NIST發布Cyber AI Profile草案,因能協助組織導入AI並控管資安風險而備受矚目

2026-01-12

FIRST | 104 | 元大證券 | 合勤科技 | 數聯資安 | 元盾資安 | 來毅數位科技 | 威脅情資共享 | 資安聯防 | CSIRT | PSIRT

2025年臺灣6家企業加入FIRST資安應變組織,合勤、104、元大證券入列,資安產業亦有來毅、數聯、元盾加入

臺灣加入FIRST國際資安應變組織的成員目前已提升至31個,2025年再添6名,最受矚目是有更多類型的公司加入,包括合勤科技,元大證券、一零四資訊科技,資安專業領域也新增來毅數位科技、數聯資安、元盾資安

2026-01-10

CrowdStrike | SGNL | 收購

CrowdStrike收購SGNL,身分安全邁向即時授權時代

雲端資安業者CrowdStrike與身分安全業者SGNL達成收購協議,以擴展CrowdStrike Falcon新一代身分安全解決方案

2026-01-10

ShadowLeak | ChatGPT | ZombieAgent

OpenAI對ShadowLeak攻擊的防護未完全封堵,研究人員再揭露ChatGPT新濫用手法ZombieAgent

OpenAI去年修補濫用ChatGPT的ShadowLeak攻擊手法,不過研究人員又發現能夠繞過官方修補措施的新安全弱點ZombieAgent

2026-01-10

GitLab | 安全更新

GitLab修補多項高風險漏洞,涉及跨站指令碼與權限濫用,自管環境應儘速更新

GitLab發布18.7.1、18.6.3與18.5.5修補版本,修正多項高風險資安漏洞,影響GitLab社群版(CE)與企業版(EE)的自管(self-managed)部署環境

2026-01-09

機器身分管理

手機、雲端、IoT、AI應用接連爆發,身分管理大失控狂潮來襲!

身分的機密性、完整性和可用性已成為當代資安防護領域的重大危機,隨著各式IT創新應用的蓬勃發展與普及,人員身分與機器身分的數量比例越來越懸殊,想要控管相關風險的挑戰也日益巨大,CyberArk亞太及日本區業務工程副總裁霍超文呼籲企業與組織,必須與時俱進,持續調整與擴充身分防護策略,才能在網路威脅攻防的過程中,將信任與否的敵我界線真正區分出來

2026-01-09

CISA | CVE-2009-0556 | PowerPoint | RCE漏洞 | CVE-2025-37164 | HPEOneView

CISA警告15年前的PowerPoint舊漏洞、HPE近期修補的OneView滿分漏洞已遭濫用

美國網路安全暨基礎設施安全管理署(CISA)將微軟2009年修補的PowerPoint漏洞,以及HPE去年12月修補的基礎架構管理軟體OneView漏洞,列入已知濫用名單

2026-01-09

信邦 | 勒索軟體 | DragonForce

針對電子零件製造商信邦遭網攻,勒索軟體DragonForce聲稱是他們所為

12月下旬電子零件製造商信邦電子發布資安重訊透露,集團與海外子公司部分資訊系統遭到攻擊,現在勒索軟體駭客組織DragonForce聲稱是他們所為,竊得該公司與半導體大廠艾司摩爾的合作文件

2026-01-09

思科 | Cisco | ISE | CVE-2026-20029 | PoC

思科修補網路存取控制平臺ISE資安漏洞,並表示已有概念驗證程式碼出現,恐將被用於實際攻擊

本週思科針對網路存取控制(NAC)平臺Identity Services Engine(ISE)用戶提出警告,他們修補資訊洩露漏洞CVE-2026-20029,雖然風險值僅有4.9分,不過若是成功利用,攻擊者能讀取連管理員都無法存取的敏感資料

2026-01-09

資安日報

【資安日報】1月9日,思科修補網路存取控制平臺ISE資訊洩露漏洞

這兩天思科公布CVSS風險評分僅有4.9分的資安漏洞CVE-2026-20029引起各大資安媒體報導,此漏洞有幾個值得留意的地方,首先,思科指出已有概念驗證程式碼(PoC),再者,攻擊者有可能讀取連管理員都無法存取的敏感資料

2026-01-09

金融資安韌性發展藍圖大剖析

臺灣金融資安監理戰略從2026年進入全新的階段,金管會發布了未來四年的金融資安韌性發展藍圖,改變了過去被動防禦、以系統為主的思維,轉為以服務為中心,擴大到生態聯防,重視快速恢復的主動韌性戰略思維。

2026-01-09

金管會 | 林裕泰 | 金融 | 資安監理 | 資安韌性 | 資安政策 | 資安長 | 零信任 | ZTA | 資安左移 | 軟體供應鏈管理 | SBOM | 軟體物料清單

【未來四年最重要的資安監理,從根本思維展開大變革】金融資安韌性發展藍圖出爐

金管會的資安監理政策,出現了根本性的大改變,從被動防禦,轉為主動韌性思維,從合規拉高到企業治理層次,在系統為中心的基礎上,轉變為以服務為中心的治理,從關鍵系統的防護,擴大到整個生態的聯防

2026-01-09

釣魚郵件 | QR Code | HTML表格

釣魚郵件改以HTML表格繪製QR Code,恐規避影像偵測

釣魚郵件改以HTML表格儲存格黑白上色在內文繪製QR Code,不含影像但仍可掃描,可能繞過以影像為主的郵件防護,研究人員提醒防禦端檢視既有偵測假設

2026-01-09

資安日報

【資安日報】1月8日,駭客利用React2Shell及FortiWeb資安漏洞從事針對性攻擊

React2Shell(CVE-2025-55182)重大漏洞再度傳出攻擊活動,不過與其他資安事故有所不同,這次駭客同時針對網頁應用程式防火牆FortiWeb下手,並部署滲透測試框架Sliver來控制受害主機

2026-01-08