資安日報 | 欣興電子 | 聯能科技 | 美亞鋼鐵 | 南亞電路板

【資安日報】2月3日,蘋果針對旗下設備修補今年第一個零時差漏洞

一月底蘋果針對旗下產品發布作業系統更新,值得留意的是,他們修補一項已被用於攻擊行動的漏洞CVE-2025-24085,電腦、行動裝置、穿戴裝置、影音播放設備都受到影響

2025-02-03

行政院 | DeepSeek | AI | 資安

行政院要求公務機關全面禁用DeepSeek AI服務

行政院指出,DeepSeek提供的AI服務,其使用資料有違反著作權法疑慮,且模型訓練上有思想審查,資料限制偏異,加上資料可能跨境傳送至中國,在未釐清疑慮下,全面禁止公務機關使用DeepSeek AI服務。

2025-02-03

兆勤 | Zyxel | CVE-2024-40891 | CPE | Mirai | Telnet

合勤CPE設備存在零時差漏洞,傳出已被用於散布殭屍網路Mirai變種

資安業者GreyNoise指出,他們看到針對合勤科技(Zyxel Communications)旗下CPE設備的零時差漏洞攻擊行動,攻擊者將其用於散布殭屍網路病毒Mirai變種,而這項遭到利用的漏洞,就是另一家資安業者VulnCheck去年發現的CVE-2024-40891

2025-02-03

蘋果 | 零時差漏洞 | CVE-2025-24085 | macOS Sequoia | iOS 18 | iPadOS 18

蘋果修補存在電腦與行動裝置的零時差漏洞,傳出已用於攻擊iPhone用戶

在農曆春節前(1月底),蘋果發布一系列的作業系統更新,其中一項零時差漏洞CVE-2025-24085相當值得留意,因為已被用於攻擊iPhone用戶,而且影響範圍涵蓋電腦、行動裝置、穿戴裝置、影音播放裝置

2025-02-03

DeepSeek | AI | ClickHouse | 資料庫安全

爆紅中國AI服務DeepSeek資料庫配置錯誤導致機密日誌外洩

Wiz Research發現中國人工智慧服務DeepSeek的ClickHouse資料庫配置錯誤,未設身分驗證,導致百萬筆機密日誌外洩,含聊天記錄、API金鑰與內部資料

2025-01-30

Apple Silicon | 側通道攻擊 | 瀏覽器

Apple Silicon存在SLAP與FLOP側通道攻擊,恐洩漏用戶機敏資料

喬治亞理工學院揭露Apple Silicon晶片存在SLAP與FLOP側通道攻擊,可能導致Mac、iPhone與iPad使用者在瀏覽網頁時,機敏資訊遭竊

2025-01-30

Zyxel | 防火牆 | USG Flex | ATP | 錯誤更新

Zyxel防火牆應用程式簽章年前更新出包,USG FLEX、ATP系列需現場修復

Zyxel防火牆因應用程式簽章更新出錯,導致USG FLEX與ATP系列部分設備不停重啟、ZySH守護程式失敗、無法登入等異常,需透過人工進行現場修復設備的程序

2025-01-27

資安月報 | 資安週報 | 資安一周 | IT周報 | 資安大事記 | 資安事件 | 漏洞修補 | 勒索軟體 | 資料外洩 | 惡意程式 | 零時差漏洞利用 | 資安事件公告 | 海纜安全 | 網路間諜

【資安月報】2025年1月,國家級駭客的網路間諜攻擊事件不斷,海纜與國家通訊韌性也受到考驗

適逢農曆年節,回顧2025年第一個月的資安新聞,多項消息顯現出網路安全面臨的挑戰是越來越嚴峻,不論是國家級駭客的網路間諜攻擊、海纜安全與國家通訊韌性面臨的惡意破壞與天然考驗,以及殭屍網路DDoS攻擊持續帶來的服務中斷情形,都持續引發大眾的關切

2025-01-26

WEF | 全球風險報告 | 網路間諜 | 假消息 | 錯誤資訊 | 社會兩極化 | 國家武裝衝突 | 地緣經濟對抗

2025年全球風險報告出爐,錯假訊息、網路間諜名列短期10大風險

世界經濟論壇(WEF)2025全球風險報告指出,以未來2年審視,全球十大風險主要有四個類型,在科技風險方面,錯誤資訊與假訊息名列第一大風險,網路間諜與戰爭位居第五大風險,而以未來10年來看全球重大風險,環境風險名列1到4名,科技風險位列第5、6、9名,不僅包含前面提到兩項,還有AI技術的不良後果

2025-01-25

資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | 資料竊取 | 殭屍網路

【資安週報】0120~0124,國家級駭客攻擊全球,網路間諜攻擊威脅大增,電信產業成2024年重災區

回顧1月第三星期資安新聞的主要焦點,首先是針對國家級駭客攻擊態勢的最新進展:電信業在2024年已成駭客攻擊頭號目標;在資安事件方面,所羅門集團兩家公司同日發布資安重訊,以及中國駭客入侵韓國VPN業者IPany發動供應鏈攻擊,還有多項殭屍網路攻擊的揭露受矚目

2025-01-25

資安日報

【資安日報】1月24日,印度駭客組織DoNot假借提供即時通訊軟體的名義散布惡意程式

針對行動裝置用戶竊取機敏資料出現新手法,印度駭客組織DoNot(APT-C-35)先是引誘用戶安裝假的即時通訊軟體,隨後再藉由推播訊息的方式進行網路釣魚攻擊

2025-01-24

印度駭客 | DoNot | APT-C-35

印度駭客組織DoNot鎖定安卓用戶,散布惡意軟體Tanzeem

資安業者Cyfirma揭露印度駭客組織DoNot(也稱做APT-C-35)最新一波攻擊行動,駭客假冒提供即時通訊軟體的名義,對安卓用戶下手,並企圖透過推送訊息的方式發動第二波攻擊

2025-01-24

Subaru | Starlink | 漏洞 | 資安 | 車聯網

Subaru車聯網爆重大漏洞,攻擊者可遠端控制車輛、追蹤位置

Subaru車聯網系統STARLINK漏洞讓駭客能以少量個資控制特定車輛、存取個資和位置記錄,Subaru目前已修復漏洞,但該事件凸顯出STARLINK車聯網在權限管理與資料保護的結構性問題

2025-01-24

WordPress | 房地產 | RealHome | Easy Real Estate | CVE-2024-32444 | CVE-2024-32445

供房地產網站使用的WordPress佈景主題、外掛存在重大漏洞,攻擊者有機會得到3萬個網站的管理權限

資安業者Patchstack揭露房仲網站WordPress佈景主題RealHome、外掛程式Easy Real Estate的重大漏洞CVE-2024-32444、CVE-2024-32445,並指出迄今開發商不予理會此事,用戶應停用這些元件避免曝險

2025-01-24

ClamAV漏洞修補 | CVE-2025-20128 | 思科 | DoS防護 | 安全更新

Cisco修補防毒軟體ClamAV DoS漏洞,防止攻擊者中斷防毒掃描

思科釋出ClamAV 1.4.2與1.0.8修補CVE-2025-20128漏洞,該漏洞由Google的OSS-Fuzz專案發現,可能遭攻擊者濫用中斷防毒掃描

2025-01-24