| iThome

VMware | ESXi | Cloud Foundation | Telco Cloud Platform | vCenter

VMware針對旗下虛擬化平臺、混合雲平臺修補高風險漏洞

本週VMware發布兩則資安公告，分別針對虛擬化平臺、混合雲平臺修補數項資安漏洞，其中最危險的是CVE-2025-41225，影響vCenter Server以及其他含有此元件的平臺

2025-05-22

Grafana | 零時差漏洞 | CVE-2025-4123

圖表資料呈現系統Grafana存在XSS高風險漏洞，傳出細節已遭公開

圖表資料呈現系統Grafana修補並公布跨網站指令碼（XSS）資安漏洞CVE-2025-4123，並指出在搭配特定的外掛程式環境下，攻擊者還能用發動伺服器偽造請求（SSRF）攻擊

2025-05-22

感染近40萬臺Windows電腦，微軟帶頭摧毀Lumma惡意程式網路

微軟聯合美國、日本、歐洲執法機構，以及Cloudflare與ESET等資安業者，以摧毀感染逾39.4萬臺Windows電腦的Lumma惡意程式網路

2025-05-22

DDoS | Aisuru | 殭屍網路

資安新聞網站Krebs On Security驚傳遭大規模DDoS攻擊

知名資安新聞網站Krebs On Security於一週前遭遇殭屍網路Aisuru大規模DDoS攻擊，規模達到6.3 Tbps，僅次於4月下旬Cloudflare擋下的6.5 Tbps

2025-05-22

影片生成模型 | Kling AI | 惡意程式

駭客假冒影片生成模型Kling AI，生成惡意程式

Check Point發現有駭客於臉書刊登廣告，誘導使用者到偽造的影片生成模型Kling AI（可靈AI）平臺，企圖於受害者系統上安裝惡意程式

2025-05-22

資安日報

【資安日報】5月21日，韓國電信業者SK Telecom事故最新調查出爐，駭客在網路環境活動近3年

本週韓國電信業者SK Telecom公布資安事故的二度調查結果，其中提及駭客早在3年前就滲透到他們的網路環境，並在這段期間散布超過20款惡意程式

2025-05-21

Pwn2Own Berlin 2025 | Pwn2Own | Firefox | CVE-2025-4918 | CVE-2025-4919

Mozilla修補Pwn2Own漏洞挖掘競賽找到的Firefox零時差漏洞

上週末舉行的漏洞挖掘競賽Pwn2Own Berlin 2025，Mozilla基金會首先對獲報的零時差漏洞做出回應，發布新版Firefox修補，並表示本次競賽中，參賽者無法直接突破其沙箱防護，顯現這方面的改良已有成效

2025-05-21

Chrome | Google Password Manager

Google Chrome可偵測並修正已外洩密碼

Google更新Chrome的Password Manager機制，可在偵測到用戶密碼外洩時，主動協助更換成高強度密碼

2025-05-21

韓國 | SK Telecom | 資料外洩 | BPFDoor

韓國電信業者SK Telecom遭駭調查結果出爐，駭客已埋伏近3年並滲透23臺伺服器

上個月韓國電信業者SK Telecom爆發遭到入侵的資安事故最新調查結果出爐，駭客早在2022年6月就滲透其伺服器，並在這段期間於該公司網路環境部署多達25種惡意軟體

2025-05-21

【波士頓直擊】紅帽年會首日5大宣布，全面瞄準企業大規模GAI運用潮

今年年度大會的重點是支援企業大規模的運用GAI，在第一天開場演講中，宣布了五項重要的產品戰略。紅帽全新的GAI戰略是實現任何模型、任何加速晶片、任何雲（Any Model,Any accelerator,Any Cloud），也就是，可以讓任何模型，使用任何晶片，在不同雲端環境，公雲，私雲和邊緣上執行

2025-05-21