React 和 Next.js 安全漏洞與安全軟體開發管理2025.12.17資安管理針對 React Server Components (RSC) 中的未經認證遠端程式碼執行 (RCE) 漏洞 CVE-2025-55182(CVSS 10.0)進行深度研究。此漏洞源於不安全反序列化,可導致駭客在應用程式伺服器上執行任意程式碼。
社交工程攻擊郵件-假冒身份發送郵件2025.12.17社會工程本週資安週報深度剖析 2025 年末出現的假冒企業社交工程攻擊。透過解析 Raw Header 揭露攻擊者如何利用 Outlook 合法雲端服務、Supmailer 工具與 QR Code 誘導員工轉移至 Line 等非受控通訊管道。本文提供「四層防護模型」與「30秒快速判斷法」,並對接 ISO 27001 與 ISO 42001 合規控制項,協助組織建立制度化的資安防護體系,防止 BEC 與社交工程詐騙。
MITRE 擴展了 D3FEND 網路安全本體,以支援 OT 環境中的網路安全2025.12.18法規標準非營利組織 MITRE 宣布將 D3FEND 框架擴展至營運技術(OT)環境,為防護網路物理系統提供結構化知識庫。本研究報告深度分析 D3FEND for OT 如何協助企業應對現代化 OT 系統連接雲端後的資安風險,並探討其在控制器、感測器及執行器等工業環境中的應用價值,建立主動防禦的技術標準。
新型 ClickFix 攻擊利用偽造的瀏覽器修復程式安裝 DarkGate 惡意軟體2025.12.18資訊安全深入探討新型 ClickFix 攻擊手法,分析駭客如何利用偽造的「Word Online」修復提示,誘騙使用者手動執行 PowerShell 命令以植入 DarkGate 惡意軟體。
WhatsApp 裝置關聯功能被濫用於帳號劫持攻擊2025.12.18資訊安全深入分析新型 GhostPairing 攻擊,探討威脅行為者如何濫用 WhatsApp 配對碼功能,透過虛假 Facebook 登入頁面誘騙使用者關聯惡意裝置,進而達成全面帳戶劫持。
Zabbix:開源 IT 和 OT 可觀測性解決方案2025.12.18營運技術深入探討 Zabbix 開源監控平台如何透過其強大的數據採集、即時告警與可視化功能,為企業提供 IT 與 OT 環境的全面可觀測性。
思科警告稱,未修補的 AsyncOS 零日漏洞可能在攻擊中被利用2025.12.18資安漏洞本報告針對思科(Cisco)近期披露的 AsyncOS 最高嚴重性零日漏洞進行深度研究。分析中國背景組織 UAT-9686 如何利用垃圾郵件隔離功能漏洞植入 AquaShell 等惡意軟體,並提供詳細的緩解措施、恢復流程及企業級資安強化建議。
SonicWall 警告稱,SMA1000 存在新的零日漏洞,可能已被攻擊者利用2025.12.18資安漏洞深入剖析 SonicWall SMA1000 設備近期爆發的零日漏洞。分析駭客如何串聯本地權限提升漏洞 (CVE-2025-40602) 與反序列化漏洞 (CVE-2025-23006) 達成未經身份驗證的遠端程式碼執行,並提供企業級修復建議與防禦策略。