One Identity | IAM | OneLogin | OpenID Connect | CVE-2025-59363

身分識別及管理平臺OneLogin存在漏洞,攻擊者可透過API金鑰竊取OpenID Connect機密、冒充應用程式

資安業者One Identity修補雲端身分驗證與存取管理(IAM)解決方案OneLogin資安漏洞CVE-2025-59363,通報此事的資安業者Clutch Security表示一旦攻擊者利用,就有機會挖掘OneLogin租戶所有的OpenID Connect(OIDC)應用程式的用戶端帳密

2025-10-05

outlook | svg

微軟宣布收信軟體Outlook將導入新措施,不再顯示信件內文當中的SVG圖片

微軟打算在收信軟體Outlook祭出新的措施,未來不再顯示信件內容嵌入的SVG圖片,預計於10月中旬對所有Windows版Outlook、網頁版Outlook(Outlook for Web)用戶完成部署

2025-10-05

google | Mandiant | Oracle E-Business Suite | Oracle | 勒索軟體 | Clop

勒索軟體駭客Clop聲稱從多家公司的Oracle E-Business Suite系統竊得資料

根據路透社、Bleeping Computer、TechCrunch等各家媒體報導,Google威脅情報團隊(GTIG)與Google Cloud旗下的Mandiant著手調查勒索軟體駭客Clop寄送大量勒索信的情況,駭客聲稱從Oracle E-Business Suite(EBS)竊得大批資料,對此Oracle發布部落格文章表示,駭客利用的漏洞已在7月修補

2025-10-03

Signal | 三棘輪 | 後量子密碼學 | 安全通訊 | SPQR

隱私通訊軟體Signal協定升級三棘輪演算法,更能抵禦量子攻擊

Signal在協定中導入後量子SPQR,與原有雙棘輪演算法並行,形成三棘輪設計,訊息金鑰由傳統橢圓曲線與ML-KEM同時產生並混合,確保需同時破解兩種機制才能解開密文

2025-10-03

資安日報

【資安日報】10月3日,Red Hat傳出資料外洩事故

繼公布OpenShift AI近滿分資安漏洞後,Red Hat再傳資料外洩的情況,有駭客組織聲稱竊得該公司與客戶之間互動的資料,並用來入侵這些下游客戶

2025-10-03

勒索軟體 | LockBit | LockBit 5.0 | VMware ESXi

勒索軟體LockBit 5.0東山再起,正式針對虛擬化平臺VMware ESXi打造專屬惡意程式

資安業者趨勢科技取得大改版LockBit 5.0檔案並進行分析,特別的是,這次他們不僅看到Windows與Linux版本,駭客更開發專門在虛擬化平臺VMware ESXi運作的加密程式

2025-10-03

資料外洩 | Red Hat | Customer Engagement Report

Red Hat傳出GitLab平臺遭到入侵,恐洩露客戶網路環境相關資料

根據資安新聞網站Bleeping Computer的報導,有駭客組織聲稱從Red Hat竊得大批客戶互動報告(Customer Engagement Report,CER),並根據當中的內容入侵下游客戶,對此,Red Hat承認有資料外洩的情況,外流的資料來自其中一個GitLab執行個體(instance)

2025-10-03

網站攻擊 | 內部威脅 | 關鍵基礎設施 | 中央廣播電臺

中央廣播電臺網站被入侵置換橫幅,傳出是內部員工所為

中央廣播電臺表示網站在9月上旬遭到入侵,已通報相關單位,目前由檢警偵辦,然而後續有媒體報導,這是內部員工所為,該名員工聲稱,目的是要警告網站安全性不足

2025-10-03

WireTap | Intel SGX | DDR4匯流排 | Intel Xeon | 記憶體加密

新攻擊WireTap側錄DDR4復原SGX私鑰,動搖Intel遠端稽核可信度

WireTap論文揭露,攻擊者能以DDR4匯流排側錄,復原SGX簽章Nonce取得私鑰,偽造稽核報告通過Intel驗證,所需裝置成本低於一千美元,主要影響第3代Xeon Scalable處理器

2025-10-02

資安日報

【資安日報】10月2日,Red Hat、Google修補AI平臺的資安漏洞

本週Red Hat、Google修補旗下的人工智慧平臺OpenShift AI、Gemini的資安漏洞,其中又以OpenShift AI的資安漏洞CVE-2025-10725風險值接近滿分,特別危險

2025-10-02

WhatsApp | Apple | 安全更新 | CVE-2025-55177 | CVE-2025-43300 | 零點擊

WhatsApp修補鏈結裝置授權缺失,與Apple ImageIO漏洞可構成零點擊攻擊鏈

WhatsApp修補CVE-2025-55177授權檢核缺陷,結合之前Apple修補的CVE-2025-43300影像處理越界寫入,兩者可形成零點擊攻擊鏈,CISA已列入KEV,建議用戶盡速更新應用與系統版本

2025-10-02

Red Hat | OpenShift AI | CVE-2025-10725

Red Hat OpenShift AI存在近滿分漏洞,恐導致混合雲基礎設施遭挾持

本週Red Hat修補人工智慧平臺OpenShift AI近乎滿分的資安漏洞CVE-2025-10725,並指出若不處理,攻擊者在特定情況下有機會掌控整個基礎設施

2025-10-02

西捷航空 | WestJet | 網路攻擊 | 資料外洩 | 社交工程

西捷航空資料外洩,證實120萬旅客護照等資料外流

加拿大航空業者西捷(WestJet)向主管機關證實,6月的網路攻擊事故,造成120萬旅客護照及其他身份資料被竊

2025-10-02

Databricks | AI | 湖倉 | Lakebase | Agent Bricks

安全湖倉結合AI代理,Databricks推出企業即時防禦平臺

Databricks推出Data Intelligence for Cybersecurity,整合安全、IT與業務資料至湖倉,並透過人工智慧代理即時調查與回應事件

2025-10-02

google | Gemini | 間接提示注入

Google修補Gemini工具3漏洞,串連攻擊可致敏感資訊外洩

研究人員示警攻擊者可透過間接提示注入,串連Gemini工具的弱點,將已儲存資訊與位置夾帶進URL參數對外洩漏,Google現已禁日誌摘要可點連結、回退個人化模型並封堵瀏覽外洩

2025-10-02