Firefox | CVE-2025-13016

資安業者Aisle揭露Firefox中藏匿6個月的高風險漏洞

Aisle公布影響Firefox瀏覽器的資安漏洞CVE-2025-13016,讓駭客得以在特定情況下執行任意程式碼,影響全球逾1.8億Firefox用戶

2025-11-28

開源治理 | 國泰金控 | 開源創新 | SBOM | AIBOM | CBOM | 開源計畫辦公室 | OSPO | 軟體供應鏈安全

國泰金控如何從軟體供應鏈安全邁向開源治理,開源戰略鐵三角做法大公開

在軟體供應鏈安全的基礎上,國泰發展出一套開源審查的標準化流程,建立一個從源頭管理,到安全上線與管理的治理體系,不只是控管,國泰下一步想善用開源來創新

2025-11-28

Salesforce | Salesforce供應鏈攻擊 | Salesforce Gainsight異常存取事故 | ShinyHunters

【新聞回顧】Salesforce與Gainsight遭到非法存取,疑似勒索軟體團體ShinyHunters發動攻擊

雲端CRM服務大廠Salesforce在11月20日發布資安公告,警示第三方廠商Gainsight連接Salesforce的應用系統出現異常活動,目前兩家公司持續合作調查事件,也找Mandiant進行獨立鑑識調查

2025-11-28

資安日報

【資安日報】11月27日,新型態網釣手法JackFix假借Windows更新為幌子,企圖散布惡意程式

資安業者Acronis針對新型態網釣手法JackFix提出警告,並指出攻擊者疑似透過惡意廣告,引誘使用者存取假的成人網站,一旦他們點選網站上的任意物件,電腦就會出現假的Windows更新畫面,並要求依照指示完成「更新」

2025-11-27

ClickFix | JackFix | Windows Update

ClickFix網釣出現新變種JackFix,假借Windows更新名義引誘使用者上當

資安業者Arconis揭露新型態ClickFix網釣攻擊手法「JackFix」,攻擊者鎖定想要瀏覽成人網站的使用者而來,一旦他們為了觀看網站內容進行點選,螢幕就會被瀏覽器畫面覆蓋,顯示假的Windows更新,要求用戶依照指示操作

2025-11-27

MMC | CVE-2025-26633 | MSC EvilTwin | 俄羅斯駭客 | EncryptHub | Larva-208 | Water Gamayun | Belay Solutions

俄羅斯駭客利用MSC EvilTwin結合被入侵的網站,企圖散布惡意程式

俄羅斯駭客組織Water Gamayun(EncryptHub、Larva-208)發起新一波攻擊行動,過程中利用微軟管理主控臺(MMC)漏洞CVE-2025-26633(MSC EvilTwin),並透過遭滲透的網站將用戶導向惡意網域

2025-11-27

俄羅斯駭客 | Blender | 竊資軟體 | StealC V2 | StealC

惡意Blender模型檔案上架3D模型市集,意圖散布竊資軟體StealC V2

資安業者Morphisec揭露專門針對3D圖形軟體Blender的攻擊行動,歹徒在開放的3D模型市集提供惡意檔案,意圖散布竊資軟體StealC V2

2025-11-27

npm | 供應鏈攻擊 | GitHub | Maven

大規模蠕蟲攻擊Sha1-Hulud再掀波瀾,影響逾1千個NPM套件與2.7萬個GitHub儲存庫

9家資安業者提出警告,上週末Shai-Hulud蠕蟲再度現身NPM套件儲存庫,這次影響規模更為廣泛,攻擊者在3天內上傳逾1千個NPM套件,感染2.7萬個GitHub儲存庫,影響多款熱門NPM專案,此外,Maven Central也出現災情

2025-11-27

Dartmouth | Oracle E-Business Suite | EBS

達特茅斯學院通報Oracle EBS資料外洩 影響至少上千人

美國達特茅斯學院(Dartmouth)Oracle E-Business Suite (EBS) 遭駭客存取,影響至少上千人

2025-11-27

Oracle E-Business Suite | 佳能 | Canon | 馬自達 | Mazda

Canon、Mazda美國分公司雙雙被駭入Oracle EBS

佳能(Canon)、馬自達(Mazda)分別證實美國分公司都被Cl0p勒索軟體駭客入侵了Oracle E-Business Suite,但外洩了哪些資料尚無法證實

2025-11-27

國泰金控 | AI代理 | 雲端架構設計 | 生成式AI | AI雲端架構師 | AI輔助開發 | 情境工程 | PDCA

採用多AI代理架構,國泰金控如何打造出更聰明的AI雲端架構師團隊

國泰運用生成式AI和多代理架構,打造出一個AI架構師團隊Smart Archie,由AI架構師協同四個子代理,貫穿了雲端架構設計、分析、估算到交付的完整流程

2025-11-26

Cox Enterprises | Oracle E-Business Suite | CVE-2025-61882 | Cl0p 勒索軟體 | 資料外洩

美國媒體與電信集團Cox通報遭Oracle EBS零時差攻擊,個資外洩近萬人受害

美國媒體與電信集團Cox Enterprises通報Oracle EBS遭零時差弱點入侵,8月期間個資遭未授權存取並外洩影響9,479人,目前已完成調查

2025-11-26

google | Antigravity | AI代理 | IDE | 提示注入攻擊 | 憑證外洩

Google新IDE Antigravity遭曝預設建議設定可被濫用外洩.env憑證

Google Antigravity被研究示範在預設設定下可被提示注入誘導,代理會讀取.env與本機程式碼並外送到攻擊者網站,整個過程無須人工確認,暴露開發環境存在實質資料外洩風險

2025-11-26

資安日報

【資安日報】11月26日,開源輕量級遙測工具Fluent Bit存在一系列可被串連的資安漏洞

資安業者Oligo Security針對受到雲端環境廣泛使用的輕量級遙測代理程式Fluent Bit提出警告,他們近期找到的一系列資安漏洞,用戶應儘速套用新版程式因應,若不處理,攻擊者可串連運用,並接管雲端環境

2025-11-26

Fluent Bit | CVE-2025-12969 | CVE-2025-12970 | CVE-2025-12972 | CVE-2025-12977 | CVE-2025-12978

開源輕量級遙測工具Fluent Bit存在一系列漏洞,攻擊者恐串連並接管雲端基礎設施

資安業者Oligo Security揭露5個遙測代理程式Fluent Bit的資安漏洞,並指出這些漏洞可被串連,攻擊者有機會用來接管雲端基礎設施,呼籲IT人員要儘速採取行動

2025-11-26