Market Information

Home Market Information

RSS iThome 新聞

  • Gemini Enterprise存在可外洩企業資料的零點擊漏洞GeminiJack 2025-12-11
    研究人員發現Google Gemini Enterprise存在一項漏洞,讓攻擊者只要以共享Google Docs、Google Calendar邀請或Gmail郵件,就能存取企業資料並外洩出去。 這項漏洞由Noma Labs發現,並命名為GeminiJack。它之前存在Vertex AI Search,Google已在安全廠商合作下將之修補。
    林妍溱
  • 駭客濫用GitHub個人存取權杖,竊取Actions機密憑證攻擊雲端控制平面 2025-12-11
    雲端資安業者Wiz揭露多起事件,指出駭客鎖定開發者GitHub個人存取權杖(PAT),再利用GitHub Actions機密憑證取得雲端帳號權限,讓程式碼庫中的權杖外洩升級為企業雲端環境的資安事故。
    李建興
  • 英國公立醫療機構Barts Health NHS Trust遭遇Oracle EBS資料外洩並公開暗網上 2025-12-10
    英國公立醫療機構Barts Health NHS Trust上周公告遭遇Oracle E-Business Suite (EBS)攻擊,致個人資料公開。 Barts Health NHS Trust作為一家信託機構,管理倫敦皇家醫院等5家醫院。一如其他受害者,Barts Health信託機構遭到Cl0p駭客從包含發票的資料庫中竊取了某些檔案,並將之張貼於暗網。被竊取的檔案包含多年來需要支付一家Barts Health醫院治療及服務費用的個人資料,包括姓名及地址。
    林妍溱
  • Apache Tika存在嚴重XXE漏洞,惡意XFA PDF可遠端讀取伺服器資料 2025-12-10
    Apache基金會旗下文件內容分析工具Apache Tika爆出一項嚴重的XML外部實體(XML External Entity,XXE)漏洞,編號CVE-2025-66516,CVSS風險分數為10分滿分。攻擊者只要送出內嵌XFA(XML Forms Architecture)表單的惡意PDF檔,便可能在未經驗證且無須使用者互動的情況下,遠端讀取伺服器上的敏感資料或對內部系統發送請求。
    李建興
  • 微軟發布12月例行更新,修補3個零時差漏洞,其中一個已被用於實際攻擊 2025-12-10
    12月9日微軟發布本月份例行更新(Patch Tuesday),總共修補57個資安漏洞,較上個月63個略為減少。根據漏洞的類型來看,權限提升(EoP)漏洞占半數最多,有29個;其次是遠端程式碼執行(RCE)漏洞,有19個;其餘為資訊洩露(ID)、欺騙,以及阻斷服務(DoS)相關漏洞,分別為4個、3個,以及2個。
    周峻佑
  • 英國國家網路安全中心試辦主動通報服務,協助組織掌握對外系統弱點 2025-12-10
    英國國家網路安全中心NCSC公開Proactive Notifications主動通報服務,與Netcraft合作掃描英國組織對外網路系統,主動通報可能的安全弱點,納入Active Cyber Defence主動網路防禦策略,盡量在弱點遭攻擊前讓系統擁有者先掌握風險與修補選項。
    李建興
  • 【資安日報】12月10日,微軟、SAP等多家科技業者發布12月份例行更新 2025-12-10
    微軟發布12月例行更新,修補3個零時差漏洞,其中一個已被用於實際攻擊 12月9日微軟發布本月份例行更新(Patch Tuesday),總共修補57個資安漏洞,較上個月63個略為減少。根據漏洞的類型來看,權限提升(EoP)漏洞占半數最多,有29個;其次是遠端程式碼執行(RCE)漏洞,有19個;其餘為資訊洩露(ID)、欺騙,以及阻斷服務(DoS)相關漏洞,分別為4個、3個,以及2個。值得留意的是,本次有3個是零時差漏洞,1個已被用於實際攻擊,另外2個在微軟修補前已被公開。
    周峻佑
  • Fortinet為多款系統修補FortiCloud SSO身分驗證繞過漏洞 2025-12-10
    近年來鎖定Fortinet旗下應用系統資安漏洞的攻擊行動不時傳出,以上個月而言,該公司先後修補兩個已遭利用的網頁應用程式防火牆(WAF)漏洞CVE-2025-64446、CVE-2025-58034,因此,只要他們修補高風險層級的重大漏洞,往往會引起各界矚目。
    周峻佑
  • 北韓駭客加入利用React2Shell的行列,散布惡意程式EhterRAT 2025-12-10
    上週React開發團隊修補CVE-2025-55182(React2Shell),此漏洞存在於React伺服器元件(React Server Components,RSC),可被用於遠端執行任意程式碼,風險值達到滿分10分,相當危險。
    周峻佑
  • 模型檢測工具PickleScan三個零時差漏洞,讓惡意PyTorch模型躲避掃描執行任意程式碼 2025-12-10
    JFrog資安研究團隊揭露,開源模型檢測工具PickleScan在舊版實作中存在3項CVSS分數皆為9.3的零時差漏洞,編號分別為CVE-2025-10155、CVE-2025-10156與CVE-2025-10157,攻擊者可藉此迴避掃描結果,讓惡意PyTorch模型在被載入時執行任意程式碼,造成供應鏈攻擊風險。
    李建興
More