| 資安月報 | 資安週報 | 資安一周 | IT周報 | 資安大事記 | 資安事件 | 漏洞修補 | 勒索軟體 | 資料外洩 | 惡意程式 | 零時差漏洞利用 | 資安事件公告 | 供應鏈攻擊 | 黑帽大會

【資安月報】2025年8月,駭客鎖定Salesforce用戶,語音網釣與第三方應用程式成主要破口

在2025年8月資安新聞中,攻擊者鎖定Salesforce用戶竊取資料的資安事故連連發生,還有AI Agent風險議題也頻頻登上本月新聞版面,但同時也還有其他重要新聞也不能因此忽視,我們整理出7大焦點方便大家回顧

2025-09-02

| CyberArk | Conjur | CVE-2025-49827 | CVE-2025-49828 | CVE-2025-49829 | CVE-2025-49830 | CVE-2025-49831 | 黑帽大會 | Black Hat USA 2025

CyberArk身分驗證資料管理平臺Conjur存在資安漏洞,攻擊者可進行串連,從而遠端執行任意程式碼

資安業者Cyata於本週舉行的資安大型會議Black Hat USA 2025裡,揭露他們通報的身分驗證資料管理平臺CyberArk Conjur資安漏洞,並指出攻擊者一旦串連,就有機會在無須提供帳密資料、Token的情況下,藉由一系列特製請求,完全控制這套管理平臺

2025-08-08

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | AI資安 | 黑帽大會

【資安週報】2024年8月12日到8月16日

在本期資安週報回顧的新聞當中,關於後​​量子密碼學(PQC)標準出爐是最大焦點,美國NIST已正式發布FIPS 203、FIPS 204與FIPS 205;在漏洞消息方面,以微軟修補10個零時差漏洞最受關注,當中有6個是已遭利用

2024-08-19

| 資安週報 | 資安一周 | 資安周報 | IT周報 | 網路攻擊 | 零時差漏洞 | AI資安 | 黑帽大會

【資安週報】2024年8月5日到8月9日

這一星期的資安新聞重頭戲是Black Hat USA年度大會,全球頂尖資安研究人員揭露多項最新研究成果;在資安漏洞與態勢方面,國內要特別注意的是,賽門鐵克揭露發現中國駭客組織UNC5330濫用合法雲端服務,因為臺灣也有組織遇害,還有思科Talos揭露臺灣研究機構遭中國駭客組織APT41攻擊

2024-08-12

| 黑帽大會 | Pwnie Awards | 戴夫寇爾 | DevCore | Orange Tsai | 蔡政達 | Exchange漏洞

再傳捷報!臺灣資安公司戴夫寇爾研究員二度獲得資安屆奧斯卡獎Pwnie Awards最佳伺服器漏洞獎

黑帽大會2021 Pwnie Awards「最佳伺服器端漏洞」總共有七個漏洞入圍,其中3個與郵件伺服器相關,另外2個則與印表機漏洞相關,最終由臺灣資安公司戴夫寇爾首席資安研究員Orange Tsai歷時半年研究的微軟Exchange郵件伺服器漏洞獲獎

2021-08-05

| Eclypsium | 程式簽章 | Windows安全機制 | 驅動程式 | 資安 | 漏洞 | 黑帽大會 | 權限升級漏洞核心模式驅動程式框架 | Kernel Mode Driver Framework | KMDF

逾40款硬體驅動程式漏洞可讓駭客在Windows核心執行惡意程式,Intel、Nvidia及多家臺灣廠商上榜

研究人員發現,多款經簽章的驅動程式存在安全漏洞,可被當作代理伺服器以讀寫核心記憶體或內部CPU組態暫存器,使這些合法驅動程式反而被攻擊者用來繞過甚至關閉Windows安全機制,進而執行任意程式碼

2019-08-12

| Check Point | 黑帽大會 | WhatsApp | 漏洞

研究人員:WhatsApp漏洞允許駭客竄改訊息

Check Point揭露即時傳訊程式WhatsApp的安全漏洞,將允許駭客竄改用戶發送的訊息或發言者身分

2019-08-12

| Check Point | 黑帽大會 | RDP | 遠端桌面協定 | Hyper-V

研究人員踢爆:微軟忽視RDP漏洞直至察覺它影響Hyper-V

Check Point研究人員去年10月曾向微軟通報一項遠端桌面協定漏洞,但未受重視,微軟一直到今年中旬二度被告知這項RDP漏洞會波及到Hyper-V時,才著手修補

2019-08-09

| Pwnie Awards | 黑帽大會 | SSL VPN | Pulse Secure |  ShadowHammer

捷報!臺灣資安公司戴夫寇爾研究員獲黑帽大會Pwnie Awards最佳伺服器漏洞獎肯定

由臺灣資安公司戴夫寇爾資安研究員Orange Tsai與Meh Chang於黑帽大會上揭露的Pulse Secure及其他SSL VPN產品漏洞,因為影響企業資安層面又深又廣,獲得黑帽大會Pwnie Awards漏洞研究界奧斯卡獎的得獎肯定

2019-08-09

| SSL VPN | Pulse Secure | Fortinet | 黑帽大會 | Orange | Meh

黑帽大會揭露致命SSL VPN漏洞,臺資安研究員駭入Twitter喚醒企業重視漏洞修補

臺灣資安公司戴夫寇爾資安研究員Orange Tsai與Meh Chang揭露包括Fortinet以及Pulse Secure的SSL VPN產品漏洞以及入侵與利用手法,並利用此一漏洞成功駭入Twitter,成為Twitter第一個提報的RCE漏洞(遠端執行漏洞),並獲得超過二萬美元的漏洞獎勵金。

2019-08-09

| 黑帽大會 | API | 個資

外洩API恐讓黑帽大會所有與會者的個資曝光

一名安全研究人員研究黑帽駭客大會發給所有與會者的NFC標籤,發現內含的名片閱讀器的API沒有保護措施,有心人士利用下就能獲得與會者的完整資料,包括姓名、公司名稱及職稱、地址、部門、電子郵件、電話號碼等等。

2018-08-23

| 黑帽大會 | IBM | AI | 惡意程式

IBM:惡意程式具備AI能力超狡猾,高度神隱幾乎抓不到

DeepLocker結合AI能力,可隱藏其惡意企圖,辨識特定的受害者或行為後才展開攻擊,例如將其嵌入視訊會議程式,可透過網路攝影機辨識人物,當目標對象出現才釋出攻擊程式,或偵測到「password」、「key」再動作。

2018-08-10