Windows RasMan 新零日漏洞獲得免費非官方補丁2025.12.15資安漏洞探討了最新發現的 Windows 遠端存取連線管理器 (RasMan) 零日拒絕服務 (DoS) 漏洞。此漏洞影響所有主流 Windows 版本,可能導致系統關鍵服務崩潰。報告提供了漏洞的技術細節、潛在的複合利用威脅、微軟的官方回應,並詳細介紹了 0patch 平台提供的免費非官方微補丁,作為在官方修復程序發布前的關鍵緩解措施。
蘋果修復了兩個在「複雜」攻擊中被利用的零日漏洞2025.12.15資安漏洞探討了蘋果公司近期發布緊急更新所修復的兩項 WebKit 零日漏洞(CVE-2025-43529 和 CVE-2025-14174)。這些漏洞已被用於針對特定個人的「極其複雜的攻擊」。報告分析了漏洞的技術性質、被利用的方式,並詳細列出所有受影響的蘋果作業系統和應用程式版本,強調了使用者和組織即時部署補丁以應對高階持續性威脅 (APT) 的必要性。
CISA新增已被積極利用的Sierra無線路由器漏洞2025.12.15裝置漏洞美國網路安全和基礎設施安全局(CISA)已將 Sierra Wireless AirLink ALEOS 路由器的嚴重漏洞 CVE-2018-4063 列入其「已知被利用漏洞」(KEV)目錄,證實該漏洞已被駭客主動利用。本報告將詳細分析此六年前的漏洞如何造成遠端程式碼執行 (RCE) 風險,尤其對工業(OT)環境構成的威脅,並強調 CISA 對聯邦機構發出的緊急修復指令,為私人組織提供防禦參考。
ICS/OTICS補丁星期二:西門子、羅克韋爾和施耐德電氣修復漏洞2025.12.15裝置漏洞根據最新的「ICS 補丁星期二」活動,重點分析了西門子、羅克韋爾自動化和施耐德電機三大工業自動化巨頭發布的安全性公告和補丁,詳述了所修復的高危漏洞類型(包括 RCE 和 DoS 缺陷)、受影響的產品系列,並為工業資產所有者提供了即時修復和縱深防禦的建議,以維護營運技術(OT)網路的穩定與安全。
FreePBX 修復了關鍵的 SQL 注入、檔案上傳和 AUTHTYPE 繞過漏洞2025.12.16裝置漏洞解析 FreePBX 及其商業模組中發現的嚴重認證繞過漏洞 CVE-2025-45579。該漏洞允許未經授權的遠端攻擊者完全繞過管理員登入機制,進而獲取管理員權限並執行遠端代碼。報告強調該漏洞對企業 VoIP 通訊系統構成的極高風險,並提供緩解措施及補丁資訊。
JumpCloud遠端協助漏洞使用戶能夠完全控制公司設備2025.12.17資安漏洞針對 JumpCloud Remote Assist for Windows 代理程式中發現的重大漏洞 CVE-2025-34352 進行深度分析。此漏洞允許普通用戶實現永久性的完整設備控制,對全球超過 18 萬個組織的 IT 基礎設施構成直接威脅。
駭客利用新近修復的Fortinet身份驗證繞過漏洞2025.12.17資安漏洞Fortinet 多項產品(FortiOS, FortiProxy, FortiWeb 等)中新發現的兩個嚴重 FortiCloud SSO 認證繞過漏洞 CVE-2025-59718 與 CVE-2025-59719 已被駭客積極利用
思科警告稱,未修補的 AsyncOS 零日漏洞可能在攻擊中被利用2025.12.18資安漏洞本報告針對思科(Cisco)近期披露的 AsyncOS 最高嚴重性零日漏洞進行深度研究。分析中國背景組織 UAT-9686 如何利用垃圾郵件隔離功能漏洞植入 AquaShell 等惡意軟體,並提供詳細的緩解措施、恢復流程及企業級資安強化建議。