Market Information

iThome 新聞

• Windows Server 2016、Windows 10 Enterprise LTSB 2016即將終止技術支援、微軟公布ESU方案 2026-02-26
  微軟本月提醒，兩款Windows 10版本及Windows Server 2016將在今年10月及明年1月來到生命周期終點（End of Lifecycle，EoL）。微軟也同時宣布推出最多三年的延伸安全更新（Extended Security Update，ESU）。
  林妍溱
• Google Gemini可在三星Galaxy S26、Pixel 10上Uber叫車、訂餐 2026-02-26
  Google昨日（2/25）配合三星最新Galaxy手機發表，宣布AI聊天機器人Gemini最新功能，將可代替Galaxy S26系列、Pixel 10系列手機用戶以Uber叫車、或以App訂購外送餐點。目前這些功能僅在美國及韓國推出。
  林妍溱
• GitHub Copilot爆RoguePilot提示詞注入弱點，可濫用GITHUB_TOKEN影響CI/CD流程安全 2026-02-26
  雲端資安業者Orca Security於今年2月揭露，原始碼託管與協作平臺GitHub旗下AI程式碼助理GitHub Copilot存在一項被命名為RoguePilot的安全弱點。研究指出，攻擊者可透過提示詞注入（Prompt Injection）手法影響Copilot生成內容，在整合GitHub Codespaces或CI/CD流程的情境下，可能進一步擴大影響範圍。 GitHub表示已針對研究內容完成相關防護強化措施，目前未公布有實際濫用證據。
  王珮瑤
• 博通修補VMware Aria Operations三項漏洞，高風險命令注入漏洞可導致遠端程式碼執行 2026-02-26
  博通（Broadcom）於2月24日發布安全公告VMSA-2026-0001，揭露VMware Aria Operations存在3項資安漏洞，其中CVE-2026-22719為命令注入漏洞，可能導致遠端程式碼執行。官方已釋出修補版本與緩解措施，呼籲企業用戶儘速升級。
  王珮瑤
• Claude Code提供遠端控制，手機、瀏覽器可接續本機工作階段 2026-02-26
  Anthropic在AI開發環境Claude Code新增遠端控制（Remote Control）功能，主打讓開發者把正在本機執行的Claude Code工作階段，延伸到手機、平板或任一瀏覽器介面上繼續對話與操作。官方強調，遠端控制期間Claude Code仍持續在使用者電腦上運行，檔案系統、MCP伺服器與專案設定都維持在本機可用，遠端介面只是觀看與下指令的入口，並非把會話搬到雲端執行。
  李建興
• Splunk Enterprise Windows版存在DLL劫持漏洞，恐成SYSTEM提權跳板 2026-02-26
  Splunk揭露Splunk Enterprise Windows版存在DLL搜尋順序劫持風險，可能讓本機低權限的使用者在Splunk服務啟動流程中觸發不當載入，進一步把權限提升到Windows的SYSTEM等級。該漏洞編號為CVE-2026-20140，CVSS v3.1分數7.7，屬高風險（High）等級，官方敦促用戶升級至已修補版本以降低風險。
  李建興
• 盜版Office安裝檔成誘餌，XMRig挖礦攻擊濫用驅動程式漏洞並可透過USB擴散 2026-02-25
  威脅情資與端點防護廠商Trellix於今年2月揭露一波鎖定Monero加密貨幣的挖礦攻擊。攻擊者以盜版Office安裝檔為誘餌，植入客製化XMRig挖礦程式，不僅濫用舊版驅動程式漏洞，還可透過USB隨身碟在不同電腦間擴散。 Trellix指出，此次XMRig變種以偽裝成Explorer.exe的控制程式為攻擊中樞，負責安裝與啟動挖礦模組，同時監控挖礦處理程序是否遭終止。
  王珮瑤
• Google發布Chrome安全更新，修補3項高風險漏洞，恐導致資料外洩與惡意程式碼執行 2026-02-25
  Google於2月23日發布Chrome穩定通道更新，桌面版Windows與macOS升級至145.0.7632.116／117，Linux為145.0.7632.116，Android版則更新至145.0.7632.120，並同步納入對
  王珮瑤
• 【資安日報】2月25日，中國APT駭客以稅務與雲端發票為誘餌，在臺灣散布惡意軟體 2026-02-25
  中國駭客Silver Fox假借稅務及電子發票名義，在臺灣散布惡意軟體Winos 4.0
  周峻佑
• 北韓駭客Lazarus使用勒索軟體Medusa在美國與中東發動攻擊 2026-02-25
  國家級駭客使用的勒索軟體，多半以自製工具為主，不過在過去一年多來，開始有部分北韓駭客採取新的策略，與勒索軟體駭客組織勾結，如今又有駭客團體跟進，再度引起資安公司的注意。
  周峻佑