| UEFI | Insyde | NVRAM | CVE-2025-3052 | CVE-2025-4275
Insyde H2O UEFI韌體存在資安弱點,攻擊者可用於繞過安全開機
卡內基美隆大學電腦緊急回應團隊協調中心(CERT/CC)、資安業者Binarly不約而同揭露系微(Insyde)UEFI韌體的資安弱點CVE-2025-4275、CVE-2025-3052,並指出若不處理,攻擊者能用來繞過安全開機(Secure Boot)防護機制
2025-06-12
| Rust | Myth Stealer | 竊資軟體
惡意軟體Myth Stealer同時鎖定Chrome、Firefox用戶而來,藉由冒牌遊戲網站散布
資安業者Trellix揭露名為Myth Stealer的竊資軟體,駭客同時針對Chrome與Firefox兩大陣營的瀏覽器用戶而來,假借提供遊戲或作弊工具散布
2025-06-12
| AI漏洞 | Microsoft 365 | M365 | Copilot | 資安漏洞 | CVE‑2025‑32711 | 大型語言模型 | RAG
研究人員揭露Microsoft 365 Copilot的零點擊AI漏洞
資安業者Aim Security旗下的Aim Labs揭露零點擊AI漏洞CVE‑2025‑32711,允許駭客在無需使用者互動的情況下,竊取M365 Copilot脈絡中的機密資訊
2025-06-12
| Tomcat | Apache | 暴力破解 | DigitalOcean
Apache Tomcat遭到大規模攻擊,400個IP位址對其暴力破解、登入嘗試
威脅情報業者GreyNoise在上週偵測到專門針對網頁應用程式伺服器Apache Tomcat的攻擊活動,駭客利用400個IP位址,試圖對其管理介面嘗試登入或是進行暴力破解,很有可能是駭客要發動相關攻擊行動的前兆
2025-06-12
| Dell | PowerScale | OneFS | CVE-2024-53298
Dell橫向擴展NAS儲存系統PowerScale存在重大漏洞,未經授權攻擊者可存取檔案系統
Dell修補網路儲存設備作業系統PowerScale OneFS,其中最受到注意的資安漏洞是重大層級的CVE-2024-53298,Dell指出此漏洞相當危險,若不處理攻擊者能藉此完全入侵NAS環境
2025-06-12
| Patch Tuesday | 微軟 | Windows 11 24H2 | KB5063060 | 例外更新
Patch Tuesday不相容部分Windows 11 24H2 PC,微軟罕見以例外更新部署
針對某些無法安裝6月例行安全更新的Windows 11 24H2裝置,微軟另外發布KB5063060例外更新
2025-06-12
| HPE | StoreOnce | CVE-2025-37093
HPE修補備份平臺StoreOnce重大層級的身分驗證繞過漏洞
HPE發布4.3.11版備份儲存系統StoreOnce更新,主要修補由漏洞懸賞專案Zero Day Initiative(ZDI)通報的一系列弱點,其中最值得留意的部分,是重大層級的身份驗證漏洞CVE-2025-37093
2025-06-11
【資安日報】6月11日,微軟修補已遭利用的WebDAV零時差漏洞,若不處理攻擊者可遠端執行任意程式碼
微軟發布6月份例行更新(Patch Tuesday),總共修補67項弱點,其中最值得留意的部分,就是已在3個月前被用於實際攻擊的WebDAV漏洞CVE-2025-33053
2025-06-11
| Salesforce | SOQL | 組態配置不當 | 低程式碼
兩組研究人員公布Salesforce零時差漏洞,涉及SOQL物件查詢注入攻擊、低程式碼平臺組態配置不當
本週有兩組研究人員公布Salesforce零時差漏洞,其中一組可被用於Salesforce Object Query Language(SOQL)注入攻擊,另一批組態配置不當弱點,則發生在Salesforce針對特定產業推出的低程式碼平臺Industry Clouds
2025-06-11