iThome

iThome IT職場必備第一手的IT產品情報、企業科技趨勢、IT技術動向、資訊管理心法 iThome Online 是臺灣第一個網路原生報,提供IT產業即時新聞、企業IT產品報導與測試、技術專題、IT應用報導、IT書訊,以及面向豐富的名家專欄。

在前幾個月,Google宣布裝置綁定連線階段憑證(Device Bound Session Credentials,DBSC)技術整合到Windows版Chrome 146版瀏覽器,上週Google宣布DBSC全面提供給所有Chrome用戶...
02/06/2026

在前幾個月,Google宣布裝置綁定連線階段憑證(Device Bound Session Credentials,DBSC)技術整合到Windows版Chrome 146版瀏覽器,上週Google宣布DBSC全面提供給所有Chrome用戶,包括Windows版及下一版macOS版Chrome。

Google將DBSC防護整合於Chrome的原理是利用Windows TPM(Trusted Platform Module)或macOS的Secure Enclave的硬體安全模組來產生無法從電腦匯出一對獨特公/私鑰,公鑰儲存在服務伺服器(或網站),只認用戶機器,而私鑰以加密儲存在用戶硬體。Chrome在登入服務伺服器時,必須以私鑰和伺服器完成驗證,確認用戶裝置是當初登入的那臺裝置。

Google強化Chrome帳號防護機制,Windows版Chrome已正式支援裝置綁定連線階段憑證(DBSC),可將網站登入狀態綁定到使用者原本的裝置

微軟在5月例行更新(Patch Tuesday)當中,修補了Windows的Netlogon服務遠端程式碼執行(RCE)漏洞CVE-2026-41089,比利時網路安全中心(CCB)原先於13日公告微軟5月例行更新的資安警示內容,5月29日...
02/06/2026

微軟在5月例行更新(Patch Tuesday)當中,修補了Windows的Netlogon服務遠端程式碼執行(RCE)漏洞CVE-2026-41089,比利時網路安全中心(CCB)原先於13日公告微軟5月例行更新的資安警示內容,5月29日突然更新,當中指出重大等級的資安漏洞CVE-2026-41089遭到積極利用。至於攻擊者如何利用漏洞,CCB並未進一步說明,微軟也沒有更新CVE-2026-41089公告內容,說明該漏洞是否已遭利用。實際情況如何,有待其他研究人員進一步揭露。

比利時網路安全中心(Centre for Cybersecurity Belgium,CCB)提出警告,微軟5月上旬修補的Windows Netlogon漏洞CVE-2026-41089已遭積極利用,呼籲IT人員儘速修補

開發Python互動式運算環境Marimo的團隊揭露重大漏洞CVE-2026-39987,後續有多組人馬加入漏洞利用的行列,資安公司Sysdig在5月10日發現最新一波攻擊,駭客利用CVE-2026-39987成功入侵1臺Marimo主機,...
02/06/2026

開發Python互動式運算環境Marimo的團隊揭露重大漏洞CVE-2026-39987,後續有多組人馬加入漏洞利用的行列,資安公司Sysdig在5月10日發現最新一波攻擊,駭客利用CVE-2026-39987成功入侵1臺Marimo主機,並截取兩個雲端憑證,然後透過將對外連線分散至大量IP位址的出口池(fanned-out egress pool)重複使用憑證,而能從AWS Secrets Manager取得SSH私鑰。得逞後駭客利用金鑰建立8個短暫的SSH連線,以穿越下游部署的SSH防禦主機(SSH bastion server),並在2分鐘內擷取內部PostgreSQL資料庫的結構與全部內容。值得留意的是,整個攻擊流程在一個小時內完成。

Sysdig特別提及駭客濫用大型語言模型(LLM)的跡象,他們在防禦主機上觀察到4種跡象,顯示相關程式碼可能是由LLM代理即時生成的,首先,這些指令碼對身分不明的目標執行動態操作,攻擊者在未事先偵察的情況下,直接列出PostgreSQL資料庫結構,並傾倒資料表內容;再者,指令中出現簡體中文註解「看还能做什么」,並在短時間透過多個Cloudflare Worker IP位址同時執行。

資安公司Sysdig發現最新一波針對Marimo資安漏洞CVE-2026-39987的攻擊行動,但與過往有所不同,這次攻擊者透過AI來進行自動化攻擊,並在不到一小時內完成整個攻擊流程

電商平臺Magento的漏洞先前受到很大關注,隨著漏洞修補的腳步趨於積極,其外掛程式的漏洞可能也將成為攻擊者利用的目標,最近揭露的網頁快取外掛程式Mirasvit Cache Warmer漏洞CVE-2026-45247,受到關注。根據資安...
02/06/2026

電商平臺Magento的漏洞先前受到很大關注,隨著漏洞修補的腳步趨於積極,其外掛程式的漏洞可能也將成為攻擊者利用的目標,最近揭露的網頁快取外掛程式Mirasvit Cache Warmer漏洞CVE-2026-45247,受到關注。根據資安公司Sansec的研究,CVE-2026-45247屬於未通過身分驗證即可利用的PHP物件注入漏洞,攻擊者只要發送特製的cookie進行storefront請求,都會將攻擊者控制的資料傳遞給PHP的原生unserialize()函式,整個過程無需任何身分驗證、管理員權限或特殊設定,只要搭配合適的Gadget Chain(小工具鏈),即有機會遠端執行任意程式碼,CVSS風險評為9.8分(滿分10分),Mirasvit開發團隊於5月25日發布1.11.12版進行修補,呼籲所有用戶儘速更新。

值得留意的是,Mirasvit Cache Warmer通常會與其他Mirasvit套件一起捆綁提供,因此有許多網路商店的經營者可能在不知情的情況下使用。Sansec發現約有6千個電商平臺採用該外掛程式,但實際安裝的數量可能更多。

資安公司Sansec揭露Magento網頁快取外掛程式Mirasvit Cache Warmer的重大漏洞CVE-2026-45247,並指出該弱點相當危險,用戶需儘速升級新版因應

透過AI整理摘要是相當成見的應用形式,但傳出有攻擊者找到藉此發動網路釣魚活動,誘騙使用者上當。資安公司Permiso Security揭露資安弱點ChatGPhish,問題源自ChatGPT的回應渲染器(response renderer)...
02/06/2026

透過AI整理摘要是相當成見的應用形式,但傳出有攻擊者找到藉此發動網路釣魚活動,誘騙使用者上當。資安公司Permiso Security揭露資安弱點ChatGPhish,問題源自ChatGPT的回應渲染器(response renderer)因為「信任」AI助理摘要的第三方網頁Markdown連結與圖片URL,而可能有資安風險。該渲染器會自動擷取圖片,並在AI助理的介面顯示即時、可點選的元素。攻擊者只要在使用者想要利用ChatGPT整理摘要的網頁當中,附加小型的惡意酬載,就有機會進行跨來源資訊洩露、網路釣魚,或顯示偽造的系統警示訊息;若是攻擊者搭配QR Code,還能將攻擊轉移到行動裝置,繞過電腦上的各種URL防禦機制。該公司強調,這並非瀏覽器的問題,而是攻擊者控制的內容,可在大型語言模型(LLM)裡被渲染成受到信任的元素。

對此,該公司自4月底已多次向OpenAI通報,但OpenAI的答覆是資料不足無法重現漏洞,以及重複通報漏洞,顯然不打算處理。

用AI助理將網頁內容進行摘要整理有可能會演變成網路釣魚攻擊!資安公司Permiso Security發現ChatGPT的弱點ChatGPhish,攻擊者可在網頁嵌入小型惡意酬載,從而對瀏覽的使用者發動攻擊

英特爾執行長陳立武電腦展首日的演說中揭露英特爾在AI資料中心的布局,除了提供Xeon 6 P-Core強調的高效能外,還有288個E-Core的Xeon 6 Plus處理器,看準AI資料中心的AI代理運算需求,也與ODM、AI晶片業者合作,...
02/06/2026

英特爾執行長陳立武電腦展首日的演說中揭露英特爾在AI資料中心的布局,除了提供Xeon 6 P-Core強調的高效能外,還有288個E-Core的Xeon 6 Plus處理器,看準AI資料中心的AI代理運算需求,也與ODM、AI晶片業者合作,規畫以Xeon 6 P-Core為基礎高效能機架系統,以及採用Xeon 6 Plus E-core為基礎的高密度、能源效率的機架系統,瞄準企業AI基礎建設。

陳立武在演說中揭露英特爾在AI資料中心的布局,除了提供擁有288個E-Core的Xeon 6 Plus處理器之外,看準未來AI資料中心的AI代理運算需求,也與ODM、AI晶片業者合作,規畫以Xeon 6 P-Core為基礎高效能機架系統,以及採用Xeon 6 Plus E-core....

NPM供應鏈攻擊鎖定Red Hat雲端服務相關套件。資安業者指出,攻擊者疑似入侵Red Hat相關開發流程,透過GitHub Actions OIDC與NPM可信發布機制散布遭植入Miasma惡意程式的版本,可能導致GitHub、NPM與雲...
02/06/2026

NPM供應鏈攻擊鎖定Red Hat雲端服務相關套件。資安業者指出,攻擊者疑似入侵Red Hat相關開發流程,透過GitHub Actions OIDC與NPM可信發布機制散布遭植入Miasma惡意程式的版本,可能導致GitHub、NPM與雲端服務憑證外洩,並牽連CI/CD發布流程。

#供應鏈攻擊 #雲端資安

Red Hat在NPM上多款雲端服務套件遭植入Miasma惡意程式,可能竊取GitHub、NPM與雲端憑證。研究人員指出,攻擊者疑似利用GitHub Actions OIDC與可信發布流程散布受污染版本

Arm正擴大其運算架構IP的影響力,除了Google Axion、AWS Graviton,還有Nvidia的Grace與Vera等採用CPU,其在PC端也擴大版圖,看準AI資料中心的CPU核心密度,今年3月發表Arm AGI CPU,強...
02/06/2026

Arm正擴大其運算架構IP的影響力,除了Google Axion、AWS Graviton,還有Nvidia的Grace與Vera等採用CPU,其在PC端也擴大版圖,看準AI資料中心的CPU核心密度,今年3月發表Arm AGI CPU,強調機架式系統的高密度CPU核心數,對於耗電、空間、冷卻等等帶來的CAPEX節省效益。

Arm執行長Rene Haas在Computex開展首日的主題演說中,暢談AI Agent快速成長,帶動資料中心對CPU的需求,CPU市場規模成長超出預期,為此Arm於今年3月發表首款Arm AGI CPU,挾高密度的機架系統、大容量記憶體優勢搶攻AI資料中心。

本期MedTech醫療科技雙周報重點:👉衛福部發布醫療GenAI指引,聚焦6大風險與供應鏈透明度👉明尼蘇達兒童醫院CIO:AI對醫療的影響將超越電子病歷👉AZ、羅氏將在臺推廣AI病理分析工具,要加速癌症精準診斷👉日本打造國產醫療AI平臺,瞄...
02/06/2026

本期MedTech醫療科技雙周報重點:

👉衛福部發布醫療GenAI指引,聚焦6大風險與供應鏈透明度
👉明尼蘇達兒童醫院CIO:AI對醫療的影響將超越電子病歷
👉AZ、羅氏將在臺推廣AI病理分析工具,要加速癌症精準診斷
👉日本打造國產醫療AI平臺,瞄準6,000萬用戶和4,000家醫療院所
👉AI新藥開發再添實例,瞄準胰臟癌與登革熱藥物研發
👉亞洲大型醫療集團:醫療AI規模化關鍵在於共通資料平臺和治理
👉減輕護理負擔的關鍵是整合系統,而非新增工具
👉AI新藥沒有快速通關!新加坡:仍須符合既有藥品審查流程

衛福部發布醫療GenAI指引;明尼蘇達兒童醫院CIO:AI對醫療的影響將超越電子病歷;AZ、羅氏將在臺推廣AI病理分析工具;日本打造國產醫療AI平臺,瞄準6,000萬用戶和4,000家醫療院所;亞洲大型醫療集團:醫療AI規模化關鍵在於共.....

資安教育與研究機構SANS Institute於5月發布調查報告指出,企業已普遍將網路威脅情資(Cyber Threat Intelligence,CTI)納入資安計畫,91%資安長認同CTI具備價值,但僅26%表示CTI會明顯影響高層決策...
02/06/2026

資安教育與研究機構SANS Institute於5月發布調查報告指出,企業已普遍將網路威脅情資(Cyber Threat Intelligence,CTI)納入資安計畫,91%資安長認同CTI具備價值,但僅26%表示CTI會明顯影響高層決策。這反映企業接下來的挑戰,但許多組織仍未把情資分析結果,轉化為預算分配、風險排序與高層決策依據。

SANS Institute調查指出,91%資安長認同CTI具備價值,但僅26%表示CTI會明顯影響高層決策。這反映企業接下來的挑戰,在於如何將情資洞察真正落實到預算配置、風險評估與漏洞修補策略之中

Address

南京東路2段17號5F
Zhongshan District

Opening Hours

Monday 09:30 - 18:00
Tuesday 09:30 - 18:00
Wednesday 09:30 - 18:00
Thursday 09:30 - 18:00
Friday 09:30 - 18:00

Website

Alerts

Be the first to know and let us send you an email when iThome posts news and promotions. Your email address will not be used for any other purpose, and you can unsubscribe at any time.

Contact The Business

Send a message to iThome:

Shortcuts

Share

Category