
iThome 新聞
- 小型嵌入式裝置檔案系統元件FatFs存在7個弱點,恐影響大量隨身碟與SD記憶卡,以及配備這些儲存裝置的各種物聯網設備 2026-07-06以網路曝險管理見長的資安廠商runZero,7月初揭露FatFs R0.16與更早的版本存在7個資安漏洞,它們分別是CVSS嚴重程度評為高風險7.6分的CVE-2026-6682、CVE-2026-6687李宗翰
- 醫材大廠美敦力資料外洩事件,影響逾380萬人 2026-07-06醫療器材大廠美敦力(Medtronic)上周通知客戶4月發生駭客入侵事件。根據官方文件,事件導致超過380萬人資料外洩。林妍溱
- Linux核心又被發現新的本機權限提升漏洞Bad Epoll,Android也受到影響 2026-07-05今年上半有資安研究人員發現Linux核心epoll子系統存在本機權限漏洞(LPE),將其命名為Bad Epoll,5月底正式以編號CVE-2026-46242浮上檯面,CVSS嚴重度評分為7.8分,屬於高風險漏洞,這個漏洞的問題在於,當中存在競態條件(race-condition)造成的記憶體釋放後再存取利用(Use-After-Free,UAF),攻擊者可藉此將無特權的處理程序提升為具有root權限的狀態,目前已知Linux桌面系統、伺服器與Android均會受到影響。李宗翰
- 惡意軟體Amadey用於散布超過1萬種惡意程式 2026-07-04跨國執法行動Operation Endgame於6月下旬發起最新一波活動,成功破壞惡意程式SocGholish(FakeUpdates)、Amadey和StealC背後的犯罪基礎設施,參與其中的民間企業組織裡,有一家是日本資安公司三井物產安全指引(Mitsui Bussan Secure Directions,MBSD),該公司透露,他們追蹤Amadey的活動長達6年,並周峻佑
- 搭配強化VM隔離的Nitro引擎,AWS Graviton5執行個體上線 2026-07-04去年12月舉行的re:Invent 2025大會,AWS發表新的自研Arm架構處理器Graviton5,並開放首批採用這款晶片的一般用途運算服務M9g的預覽版本,他們也初步揭露運算效能的表現: 相較於前代產品M8g,M9g的提升幅度達到25%,而在網站應用程式與機器學習,以及資料庫等類型的工作負載上,李宗翰
- 加密貨幣預測市集Polymarket第三方供應鏈遭入侵,客戶損失300萬美元 2026-07-03根據資安新聞網站Bleeping Computer報導,大型加密貨幣預測市場平臺Polymarket近日證實遭遇供應鏈攻擊,駭客入侵第三方供應商,在網站前端植入惡意指令碼,造成用戶損失。對此,Polymarket承諾將全額賠償受影響的客戶。周峻佑
- Apache修補Tomcat重大漏洞,涉及憑證驗證與安全設定資訊錯誤問題 2026-07-03Apache軟體基金會近日發布資安公告,修補Java Web應用程式伺服器軟體Apache Tomcat的6個漏洞,包含憑證驗證檢查失效,以及安全設定資訊顯示錯誤的重大漏洞,9.x、10.x與11.x等分支版本都會受到影響,用戶應升級到已修補的9.0.119、10.1.56與11.0.23以上版本。張明德
- Google環境報告:AI基礎設施讓2025年用電暴增37%,但仍成功減碳2% 2026-07-03「我們正處於張力之中,一方是AI帶動的高速成長,另一方是環境永續責任」,Google永續長Kate Brandt說。Google本周發布最新環境報告,揭露其在2025年面臨歷史性的電力需求成長,但仍成功壓低營運碳排放。 根據該報告,2025年Google電力需求年增37%,主要來自AI資料中心與運算基礎設施快速擴張,然而,營運碳排放仍較前一年下降2%。「這證明我們將業務的快速成長與碳排脫鉤」,Kate說。蘇文彬
- ARToken釣魚即服務平臺鎖定Microsoft 365權杖,支援BEC攻擊操作 2026-07-03思科(Cisco)旗下威脅情報團隊Talos揭露名為ARToken的釣魚即服務(PhaaS)平臺,指出這套工具鎖定Microsoft 365帳號,並與另一個PhaaS平臺EvilTokens生態系,共用基礎架構、API介面設計與操作模式,今年初資安業者Sekoia、微軟,也針對EvilTokens發布分析報告。王珮瑤
- 駭客團體JadePuffer濫用AI從事勒索軟體攻擊,利用Langflow弱點取得初始入侵管道 2026-07-03一般而言,勒索軟體攻擊多半駭客會手動操作、下達所需的指令,或是透過指令碼將部分流程自動化執行,然而近期出現一起完全由AI代理與大型語言模型(LLM)驅動的勒索軟體行動,引起資安公司的注意。周峻佑
