Chrome | 高風險漏洞

Google發布Chrome 143,修補V8引擎高風險漏洞

Google於12月2日釋出Chrome 143穩定版,修補13項資安漏洞,其中包括存在於V8引擎等核心元件的4項高風險漏洞

2025-12-08

微軟 | Windows | 捷徑 | CVE-2025-9491

微軟無公告調整遭攻擊者多年濫用的Windows捷徑UI漏洞

Windows捷徑屬性僅顯示前260字元,攻擊者得以將惡意指令藏於後段,長期未被介面正確呈現,微軟已在今年調整顯示行為,讓完整目標字串可被查看

2025-12-08

FortiOS | FortiGate | FortiAI-Protect | Fortinet ASICs

Fortinet新一代中高階NGFW登場,提供26 Gbps威脅防護效能

Fortinet上半年發表多款次世代網路防火牆,其中的FortiGate 700G可提供競爭產品4倍的威脅防護效能

2025-12-07

Battering RAM | 機密運算 | Intel SGX | AMD SEV-SNP | 雲端資安

Battering RAM硬體攻擊可繞過Intel與AMD機密運算,威脅公有雲資料安全

研究示範Battering RAM攻擊只需一塊約50美元中介板,就能在Intel Scalable SGX與AMD SEV-SNP上繞過記憶體加密與啟動驗證,讀寫受保護資料並破壞驗證機制

2025-12-05

資安日報

【資安日報】12月5日,React滿分資安漏洞已有多組中國駭客加入利用行列

本週React公布的滿分漏洞CVE-2025-55182(React2Shell),AWS提出警告,已出現多組中國駭客積極利用的情況,其中兩組人馬是Earth Lamia、Jackpot Panda

2025-12-05

CISA | NSA | Brickstorm | VMware | 中國駭客 | Warp Panda | Ivanti Connect Secure | CVE-2023-46805 | CVE-2024-21887 | CVE-2023-46747 | CVE-2021-22005 | CVE-2023-34048 | CVE-2024-38812 | DCERPC

中國駭客利用Brickstorm對VMware虛擬化平臺下手,從事網路間諜活動

美國與加拿大針對中國駭客利用後門程式Brickstorm從事網路間諜活動提出警告,指出這些駭客將其用於攻擊VMware虛擬化平臺,複製虛擬機器(VM)的快照,然後從中挖掘憑證資料,以便從事後續活動

2025-12-05

ArrayOS | Array AG | 漏洞利用 | DesktopDirect | CVE-2025-66644

Array Networks旗下VPN設備資安漏洞遭利用,攻擊者以此植入Web Shell

日本電腦網路危機處理暨協調中心(JPCERT/CC)警告,日本有多家企業Array AG系列SSL VPN設備遭到攻擊,這些設備皆存在一項安瑞科技(Array Networks)已於5月完成修補的資安漏洞(未登記CVE編號),呼籲企業應儘速採取行動

2025-12-05

Nvidia | AI超級電腦 | DGX Spark | CVE-2025-33187 | CVE-2025-33188

Nvidia修補DGX Spark重大漏洞,可能導致AI系統遭接管

Nvidia在11月21日發布安全更新,修補DGX Spark韌體安全漏洞

2025-12-05

React | Next.js | CVE-2025-55182 | React2Shell | 中國駭客 | Earth Lamia | Jackpot Panda

多組中國駭客從事React伺服器元件滿分漏洞利用活動

針對本週三React開發團隊公布的滿分漏洞CVE-2025-55182(React2Shell),AWS警告已有多個中國國家級駭客積極利用,呼籲IT人員要儘速套用新版軟體修補

2025-12-05

CloudFlare | DDoS攻擊 | 殭屍網路 | Aisuru

殭屍網路Aisuru再度發動大規模DDoS攻擊,29.7 Tbps創紀錄

Cloudflare報告顯示,殭屍網路Aisuru以29.7 Tbps刷新DDoS紀錄,每日平均14起超大型攻擊,推升第三季攻擊量至830萬起

2025-12-05

小紅書 | 詐騙 | 內政部 | 數位主權

小紅書成詐騙高風險平臺且不配合國內偵查,內政部祭出網路停止解析及限制接取一年處分

根據165統計,小紅書App平臺上涉及的詐騙案件,2024年至今年11月為止,超過1,700件,造成損失約2.4億元,行政院行文給小紅書在中國上海的母公司,未獲得回應,基於涉詐風險高及無法配合國內檢警偵辦,依詐斯犯罪危害條例予以網際網路停止解析、限制接取,暫定一年。

2025-12-04

資安日報

【資安日報】12月4日,華碩傳出供應商遭駭,外流手機相機軟體開發資料

勒索軟體Everest近日聲稱,他們竊得華碩的內部機密資料,而引起全球高度關注,對此,華碩表示遭到攻擊的其實是供應商,華碩旗下產品、公司內部系統,以及用戶隱私,皆未受到影響

2025-12-04

AiTM | Google Workspace | Facebook | Meta | 廣告帳號 | Calendly

假會議濫用Calendly平臺,駭客冒充知名品牌誘騙Google與Facebook廣告管理員帳號

有人企圖挾持用來管理廣告的Google Workspace及Facebook帳號,而他們活動的共通點,就是濫用線上會議排程工具Calendly

2025-12-04

資料外洩 | 供應鏈攻擊 | 華碩 | 勒索軟體 | Everest

華碩的一家供應商遭駭,駭客可能竊取包含相機原始碼在內的1 TB內部資料

勒索軟體Everest聲稱竊得華碩內部資料,內容為相機的原始碼,外界根據駭客公布的螢幕截圖,推測主要與華碩智慧型手機的相機韌體與應用程式有關。對此,華碩發出簡短聲明,僅提及是供應商遭到攻擊,未影響華碩產品、公司內部系統與用戶隱私

2025-12-04

鳳凰城大學 | University of Phoenix | Oracle E-Business | EBS | 資料外洩 | 供應鏈攻擊 | 零時差攻擊

鳳凰城大學遭遇Oracle EBS零時差漏洞攻擊

鳳凰城大學在11月間偵測其Oracle EBS系統遭到未授權存取,校方研判屬於8月間爆發的Oracle EBS零時差漏洞攻擊行動,導致該校師生及外部供應商資料外洩

2025-12-04