Market Information

Home Market Information

RSS iThome 新聞

  • 未設密碼防護的資料庫系統暴露在公開網路,iCloud、Gmail、Netflix等近1.5億筆憑證曝險 2026-01-26
    研究人員揭露一個雲端資料庫未設置密碼或套用加密防護,使Gmail、Outlook、iCloud、Netflix、Facebook等主要雲端服務及知名平臺的帳號、密碼等近1.5億筆憑證曝險。 這個資料庫是由ExpressVPN研究人員Jeremiah Fowler發現,資料庫內有149,404,754筆不重複登入帳號及密碼,資料量達96GB。研究人員抽取的部分資料,顯示內含電子郵件信箱地址、使用者名稱、密碼和URL。
    林妍溱
  • Fortinet坦承FortiCloud SSO漏洞修補不全 將再釋出更新 2026-01-26
    在企業用戶反映遭駭及資安廠商揭露後,Fortinet上周證實去年12月修補的FortiCloud單一登入整合漏洞,發生修補不全的問題,承諾將再釋出更新軟體。
    林妍溱
  • 惡意軟體測試服務AVCheck遭瓦解後,荷蘭警方逮捕疑似實際營運者 2026-01-26
    多國執法單位在2025年中旬瓦解惡意軟體測試服務AVCheck後,近期出現新進展。資安媒體Hackread引述執法單位消息指出,荷蘭警方本月在阿姆斯特丹逮捕33歲荷蘭籍男子,疑似為AVCheck實際營運者。
    王珮瑤
  • 駭客宣稱駭入Nike竊得近19萬份檔案 2026-01-26
    運動鞋及服飾巨擘Nike遭傳被駭,竊走近19萬份資料,已展開調查。 知名資安研究人員Dominic Alvieri上周發現駭客組織WorldLeaks在其官網張貼公告,宣稱駭入Nike,竊得18.8萬份檔案、共1.4TB資料。 駭客還貼出了螢幕擷圖以證實所言。根據貼圖,外洩的資料可能來自一家分公司,至少包含製造端,像是多個系列的製造和工廠資料。從研究人員張貼的駭客貼文擷圖中的倒數日期來判斷,WorldLeaks駭客可能是威脅Nike,若不在時限前聯繫或支付贖金,就會公開手中的資料。
    林妍溱
  • 約10萬個WordPress網站使用的ACF Extended外掛,存在高風險漏洞可讓攻擊者取得管理權限 2026-01-26
    WordPress外掛ACF Extended近日被揭露存在高風險資安漏洞,未經驗證的攻擊者在特定條件下,可能直接建立具備管理員權限的帳號,進而取得完整網站控制權。該漏洞已被編號為CVE-2025-14533,CVSS風險評分高達9.8分,屬於重大(Critical)等級。 ACF Extended定位為補強Advanced Custom Fields功能的WordPress外掛,主要用於協助網站開發者建立自訂內容欄位,並延伸前端表單的應用情境,例如讓訪客或會員透過表單提交內容,甚至進行使用者資料的新增與更新。
    王珮瑤
  • AI應用開發框架Chainlit爆高風險漏洞,恐遭濫用入侵雲端環境 2026-01-26
    每月下載量達數十萬次、廣泛用於打造對話式與代理型AI服務的開源框架Chainlit,近日被資安研究人員揭露存在兩項高風險資安漏洞。在特定部署條件下,相關弱點可能遭攻擊者濫用,導致未經授權存取應用資料,甚至成為入侵雲端環境的切入點,已引發資安社群關注。
    王珮瑤
  • 歐盟擬修訂網路安全法案,強化供應鏈資安管理並限制高風險供應商 2026-01-26
    歐盟執委會(European Commission)於1月20日公布新一波「網路安全包裹法案(Cybersecurity Package)」,內容包括修訂《歐盟網路安全法》(EU Cybersecurity Act)、擴大歐盟網路安全局(European Union
    王珮瑤
  • Android Studio Otter 3擴大代理式開發支援,可改用第三方與本機模型 2026-01-26
    Google釋出Android應用程式整合開發環境Android Studio Otter 3 Feature Drop 2025.2.3穩定版,其更新重點放在代理式開發工作流程,讓IDE內建AI功能可改用開發團隊自選的大型語言模型,涵蓋第三方遠端模型與本機模型兩種方式。另外,也強化代理模式Agent Mode的裝置互動與變更審查機制,並加入以自然語言撰寫的旅程測試,以及透過MCP協定串接外部工具等功能。
    李建興
  • 跨平臺工具鏈導入Windows現代API門檻降低,微軟winapp CLI公開預覽 2026-01-26
    微軟宣布Windows App Development CLI(winapp)進入公開預覽階段,該開源命令列工具針對跨平臺框架,以及不以Visual Studio或MSBuild為核心的開發流程,把Windows應用程式常見的環境準備與封裝作業整合成一致的指令介面,使得不同工具鏈更容易使用Windows AI等現代API功能。
    李建興
  • 惡意PyPI套件仿冒SymPy,鎖定Linux主機投放挖礦程式 2026-01-26
    資安業者Socket威脅研究團隊揭露,Python套件庫PyPI近期出現名為sympy-dev的惡意套件,刻意仿冒知名符號數學函式庫SymPy的專案描述與呈現方式,誘使開發者在搜尋或安裝時誤用。研究人員指出,sympy-dev針對Linux環境並會執行加密貨幣挖礦程式XMRig。
    李建興
More