iThome 新聞
- 4年前的Linux核心漏洞已遭利用,恐被用於供應鏈攻擊 2026-06-046月2日美國網路安全與基礎設施安全局(CISA)警告,幾年前揭露的Linux核心權限提升漏洞CVE-2022-0492已遭到積極利用,他們將其納入已遭利用漏洞名單(KEV),要求聯邦機構於6月5日前周峻佑
- 駭客利用美國愛國者形象經營社群頻道,掩護詐騙活動,結合生成式AI擴大攻擊行動 2026-06-04透過生成式AI的協助,以往需要一組團隊才能完成的複雜網路攻擊行動,現在單一攻擊者便能執行。張明德
- Google發布ChromeOS長期支援版更新,修補多項重大記憶體安全漏洞 2026-06-04Google推出ChromeOS作業系統長期支援版LTS-144的更新版144.0.7559.254,當中修補了15項漏洞,當中分別有3項漏洞被評為有重大風險,11項有高風險,1項有中度風險。張明德
- CISA將Android框架零時差漏洞列入已遭利用漏洞名單 2026-06-04Google發布6月Android例行更新(Android Security Bulletin),修補的對象包含存在於Android框架的權限提升漏洞CVE-2025-48595,公告指出該漏洞已被鎖定目標的局部活動所利用,隨後美國網路安全與基礎設施安全局(CISA)也證實CVE-2025-48595被用於實際攻擊的情況。周峻佑
- 英國要求Google提供AI Overviews獨立退出權限 2026-06-04英國競爭與市場管理局(Competition and Markets Authority,CMA)周三(6/3)宣布,對Google搜尋服務祭出新的行為要求(Conduct Requirement),正式要求Google讓出版商能夠單獨選擇退出(Opt-out)AI Overviews等AI搜尋功能對其內容的使用,同時不得影響其內容出現在一般搜尋結果中的資格。陳曉莉
- 美國政府證實Magento快取外掛Mirasvit Cache Warmer重大漏洞已遭利用 2026-06-04上週資安公司Sansec提出警告,Magento網頁快取外掛程式Mirasvit Cache Warmer存在重大漏洞CVE-2026-45247,攻擊者在未經身分驗證的情況下,可在PHP物件進行注入,CVSS風險評為9.8分,用戶應儘速更新因應。本週美國網路安全與基礎設施安全局(CISA)指出,他們已掌握漏洞遭積極利用的證據。周峻佑
- 老舊系統威脅持續惡化,歐洲逾半數工業組織的資安事件涉及舊版Windows系統 2026-06-04工業環境中的老舊系統(Legacy Systems)風險持續成焦點,TXOne Networks近期針對歐洲揭露其2026年度OT資安報告研究細節,解析當地工業領域面臨的挑戰。報告指出,過去一年有超過半數(51%)的歐洲工業組織,曾經歷涉及老舊Windows系統的資安事件,這項數據相較於2025年的43%有明顯增長。值得注意的是,約25%受訪者表示相關資安事故在一年內發生不只一次,反映出舊系統漏洞已成為駭客眼中持續且活躍的攻擊面。羅正漢
- HTTP/2 Bomb攻擊手法影響主流網頁伺服器,恐遭用於DoS攻擊 2026-06-04研究人員於6月3日揭露名為HTTP/2 Bomb的遠端阻斷服務(DoS)攻擊手法,影響多款主流網頁伺服器與代理伺服器,包括Nginx、Apache httpd、Microsoft IIS、Envoy與Cloudflare Pingora。這項攻擊鎖定HTTP/2預設組態,攻擊者可透過少量流量消耗伺服器大量記憶體,導致服務回應緩慢或無法存取。王珮瑤
- Google Workspace擴大網域外檔案警示,降低敏感資料外洩與釣魚攻擊風險 2026-06-04Google於5月26日宣布強化Google Workspace安全功能,擴大既有的網域外檔案警示(Out-of-Domain file-level warnings)適用範圍,新增支援行動裝置App、檔案共享通知等情境。Google表示,這項預設啟動的功能,可協助用戶更清楚辨識所處理的檔案,了解是否來自組織外部的文件與使用者,降低外洩敏感資料及遭遇網路釣魚攻擊的風險。王珮瑤
- 微軟9月強化Entra ID自助式密碼重設,僅允許已註冊驗證方法 2026-06-04微軟預告,身分識別與存取管理服務Microsoft Entra ID的自助式密碼重設(Self-Service Password Reset,SSPR)流程,將自2026年9月7日起調整。企業使用者透過SSPR重設密碼並驗證身分時,僅能使用事先完成註冊的驗證方法。若手機號碼、公司電話或備用電子郵件僅存在於目錄屬性中,未正式註冊為驗證方法,政策生效後將無法再用於密碼重設。王珮瑤