資安 | iThome

資安

.NET Framework HTTP用戶端代理設計缺陷，結合WSDL匯入可構成RCE攻擊鏈

.NET SOAP HTTP用戶端代理存在設計缺陷，透過WSDL匯入可將請求寫入伺服器檔案，在多款企業產品造成遠端程式碼執行與NTLM雜湊外洩風險

資安周報

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 供應鏈攻擊

在2025年12月第一星期資安新聞中，最多人關注的是勒索軟體針對臺灣產業攻擊的狀況，有6家業者遭入侵；韓國金融業前陣子亦遭受勒索軟體Qilin襲擊，如今指出是當地MSP業者GJTec遭駭成為入侵管道，此供應鏈攻擊導致超過20家資產管理公司的資料遭竊，研判是北韓國家級駭客發動

2025-12-08

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊

【資安週報】1122~1126，LINE資安弱點揭露受關注。Salesforce針對Gainsight遭駭示警

回顧2025年11月最後一週資安新聞，最多人關注的消息是即時通訊軟體LINE被揭露存在資安弱點；還有兩起攻擊事件與威脅研究值得留意，包括Salesforce示警Gainsight遭駭導致相關威脅再度浮現，以及首次發現言論審查會影響開發安全，DeepSeek-R1處理政治敏感議題的提示時，產生嚴重資安弱點程式碼的機率顯著上升

2025-12-01

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 勒索軟體攻擊, 產品資安

【資安週報】1117~1121，電信業提供「小烏龜」已屆EoL，卻未主動幫用戶更換，邊緣裝置產品資安風險成焦點

在2025年11月第三星期資安新聞中，邊緣裝置的產品安全成為焦點，最受矚目是臺灣資安研究人員揭露「小烏龜」漏洞引發的安全疑慮，還有兩起攻擊活動的揭露，包括中國駭客鎖定華碩路由器攻擊以架設ORB網路匿蹤，以及中國駭客PlushDaemon入侵路由器竄改DNS的攻擊行動

2025-11-24

竊資軟體 | npm | Typosquatting

竊資軟體透過NPM套件散布，針對三大平臺盜取敏感資料

資安業者Socket公布一批專門散布竊資軟體的NPM套件，這些套件同時針對Windows、macOS、Linux電腦而來，上架約4個月才被發現，主要原因在於，攻擊者透過4層混淆手法處理惡意酬載，使得相關檢測工具難以察覺異狀

2025-10-30

惡意NPM套件攻擊PhantomRaven鎖定開發人員，意圖竊取NPM與GitHub憑證等CI/CD機密

惡意NPM套件埋藏惡意程式碼出現更隱密的手法！資安業者Koi Security揭露一起大規模攻擊行動PhantomRaven，並指出攻擊者將惡意內容存放於外部伺服器上的相依套件，使得大部分資安檢測工具難以察覺異狀

2025-10-30

資安日報

【資安日報】10月29日，勒索軟體Qilin今年6月與8月均聲稱對近百個組織下手

勒索軟體Qilin的威脅態勢加劇，引起資安圈高度關注並提出警告，繼趨勢科技上週公布這些駭客採用的特殊手法後，本週思科威脅情報團隊Talos也公布相關調查結果，指出這些駭客在今年的6月與8月，均聲稱對接近100個企業組織發動攻擊

2025-10-29

ASP.NET | ASP.NET Core | CVE-2025-55315 | HTTP Request Smuggling

微軟修補有史以來最嚴重的ASP.NET Core漏洞

微軟在10月例行更新（Patch Tuesday）修補風險值9.9分的漏洞CVE-2025-55315，此漏洞是ASP.NET Core有史以來最危險的資安漏洞，本週有開發人員揭露細節，說明其發生的原因

2025-10-29

TEE.fail | 可信執行環境 | Intel TDX | AMD SEV-SNP | Nvidia 機密運算

研究揭露TEE.fail攻擊，千美元裝置可破解Intel、AMD處理器與Nvidia GPU機密運算

喬治亞理工與普渡大學發表TEE.fail攻擊研究，指出以低成本DDR5匯流排攔截即可偽造Intel與AMD機密運算證明，威脅雲端可信執行環境完整性，連Nvidia GPU信任鏈也可能遭間接繞過

2025-10-29

義大利間諜軟體開發商東山再起，濫用Chrome零時差漏洞散布惡意程式Dante

今年3月通報Chrome零時差漏洞CVE-2025-2783的資安業者卡巴斯基，本週公布最新調查結果，攻擊者的身分是前身為Hacking Team的間諜軟體公司Memento Labs

2025-10-29

思科回顧今年勒索軟體Qilin攻擊事故，6月與8月均有近百個組織受害

思科威脅情報團隊Talos針對近期勒索軟體Qilin攻擊升溫的態勢提出警告，指出這些駭客利用作業系統內建的公用程式來挖掘機密資料，而且會透過兩種勒索軟體危害受害組織的電腦及網路資料夾

2025-10-29

google | Gmail | Have I Been Pwned | 資料外洩

Google駁斥數百萬筆Gmail信箱外洩

Have I Been Pwned?揭露新一批電子郵件地址外洩資料，但被媒體報導成Gmail資料外洩事故，促使Google急忙出面闢謠

2025-10-29

發展AI自動發現與修補漏洞有成，Shellphish在臺揭露實戰經驗

今年台灣駭客年會HITCON 2025聚集多組AIxCC競賽團隊分享研發成果，深入探討以AI自動發現與修補漏洞的最新實踐，其中獲得第五名的Shellphish團隊也現身說法，他們指出，要找到「正確」的修補方案絕非易事，並強調在進行修補前，必須先釐清並歸類錯誤發生的根本原因。

2025-10-28

從10年前CGC到AIxCC挑戰賽，Theori在臺揭露發展自動化防禦的旅程與經驗

今年台灣駭客年會HITCON 2025活動現場，AIxCC競賽季軍隊伍Theori共同領隊在臺暢談參賽經驗，當中特別闡釋從10年前CGC挑戰賽，到現在AIxCC挑戰賽的技術轉變，並揭示LLM的進化足以改變我們應對漏洞的方式

2025-10-28

AIxCC冠軍隊現身HITCON 2025，闡釋運用LLM自動發現修補漏洞的開發歷程

今年台灣駭客年會HITCON 2025的重頭戲，是AIxCC冠軍隊伍Team Atlanta成員首度在臺公開他們的寶貴經驗。包括2023年競賽初期，他們也曾懷疑是否真能運用LLM來自動發現漏洞與修補，以及後續團隊是如何設計其系統架構並分工合作

2025-10-28

AIxCC競賽隊伍現身HITCON 2025，解析用AI發現修補漏洞的經驗

對於如何發展用AI處理漏洞的方法或解決方案，今年8月舉行的台灣駭客年會HITCON 2025請到多位該領域專家發表演說，當中包含來自美國DARPA AIxCC競賽冠軍隊伍Team Atlanta成員，以及第三名Theori、第五名Shellphish的領導人，臺灣資安社群得以了解這項結合AI與自動化防禦的挑戰競技

2025-10-28