iThome 新聞
- CISA將Android框架零時差漏洞列入已遭利用漏洞名單 2026-06-04Google於6月Android例行更新(Android Security Bulletin)修補零時差漏洞CVE-2025-48595,此為存在於Android框架的權限提升漏洞,已被鎖定目標的局部活動所利用,隨後美國網路安全暨基礎設施安全局(CISA)也證實被用於實際攻擊的情況。周峻佑
- Google Workspace擴大網域外檔案警示,降低敏感資料外洩與釣魚攻擊風險 2026-06-04Google於5月26日宣布強化Google Workspace安全功能,擴大既有網域外檔案警示(Out-of-Domain file-level warnings)的適用範圍,新增支援行動裝置App、檔案共享通知等情境。Google表示,這項功能可協助企業使用者辨識來自組織外部的文件與使用者,降低外洩敏感資料及遭遇網路釣魚攻擊的風險。王珮瑤
- 微軟9月強化Entra ID自助式密碼重設,僅允許已註冊驗證方法 2026-06-04微軟預告,身分識別與存取管理服務Microsoft Entra ID的自助式密碼重設(Self-Service Password Reset,SSPR)流程,將自2026年9月7日起調整。企業使用者透過SSPR重設密碼並驗證身分時,僅能使用事先完成註冊的驗證方法。若手機號碼、公司電話或備用電子郵件僅存在於目錄屬性中,未正式註冊為驗證方法,政策生效後將無法再用於密碼重設。王珮瑤
- 駭客組織DriveSurge劫持數千個合法網站,結合運用ClickFix與FakeUpdates手法散布惡意軟體 2026-06-03以軟體更新或修復問題為誘餌,誘導受害者下載惡意軟體或執行惡意指令的FakeUpdates與ClickFix攻擊手法,近來出現結合運用的案例。資安公司Silent Push近日發布報告,揭露新興網路犯罪組織DriveSurge劫持數千個合法網站,藉此發動大規模惡意軟體散布活動,並能分析受害者情境,切換使用FakeUpdates與ClickFix手法來誘導受害者。張明德
- 微軟推出Project Solara,布局AI代理人硬體生態系 2026-06-03微軟於Build 2026開發者大會期間公布代號為Project Solara的新平臺,目標是打造專為AI代理人(Agent)設計的裝置生態系。與傳統以應用程式(App)為核心的運算模式不同,Project Solara希望讓使用者直接透過代理人完成工作,並進一步催生各種新型態的AI裝置。陳曉莉
- 俄羅斯駭客GreyVibe濫用生成式AI,攻擊烏克蘭企業組織 2026-06-03隨著AI應用普及,許多駭客也開始濫用這些工具,從事網路攻擊活動。最近資安公司WithSecure揭露的俄羅斯駭客組織GreyVibe,就屬這種型態的例子。周峻佑
- MITRE將自動化攻擊模擬平臺Caldera移交Apache基金會 2026-06-03開源自動化模擬工具Caldera自多年前MITRE ATT&CK框架興起以來,即備受資安人員關注,開發該平臺的美國非營利組織MITRE於5月20日宣布,將這項發展近十年的平臺正式捐贈給Apache軟體基金會(ASF),並進入孵化器(Incubator)階段。羅正漢
- HPE將AI對話式互動帶進災難復原管理,Zerto新增AI助理與第3方AI平臺整合 2026-06-03HPE旗下備份與資料保護平臺Zerto近日推出10.9版,新增兩項與AI相關的新功能,包括內建的對話式AI助理(AI Assistant),以及與外部AI用戶端的整合機制Zerto Context Protocol,藉此將生成式AI技術導入Zerto的管理流程,降低災難復原與資料保護管理的複雜性。張明德
- 歐盟網路安全局發布NIS360報告,太空與鐵路關鍵性攀升 2026-06-03歐盟網路安全局(ENISA)於5月28日發布NIS360報告,針對歐盟NIS2指令所涵蓋的高關鍵性部門,建立了一套年度評估架構。報告指出,隨著組織積極應對演進中的政策要求與網路威脅,歐盟關鍵領域部門的資安成熟度正穩步提升;然而,受地緣政治與數位化影響,太空與鐵路部門的關鍵性(Criticality)顯著攀升,被列入資安防禦的重點關注區域。羅正漢
- 思科推出Cloud Control,打造AI代理時代IT營運平臺 2026-06-03思科(Cisco)推出統一營運平臺Cisco Cloud Control,將旗下網路、資安、AI基礎架構、可觀測性與協作等產品能力,整合到單一操作介面。這項平臺也透過Cloud Control Studio串接第三方工具與既有IT環境,讓企業可在同一套介面管理跨產品組合的維運工作。王珮瑤