700 多個自託管的 Git 倉庫遭受零時差攻擊,短期內無法修復2025.12.11資安漏洞探討一款廣泛使用的自架 Git 服務 Gogs 正面臨的嚴峻安全危機——一個追蹤編號為 CVE-2025-8110 的零日漏洞正被攻擊者主動大規模利用。該漏洞允許未經授權的用戶透過巧妙繞過先前修復的安全措施,在伺服器上實現遠端程式碼執行 (RCE)。
端點安全英特爾和AMD處理器受PCIe漏洞影響2025.12.11裝置漏洞解析影響 Intel 和 AMD 處理器的三個 PCI Express (PCIe) 規範級漏洞 (CVE-2025-9612, -9613, -9614),這些漏洞針對 PCIe 數據加密 (IDE) 標準,可能導致底層資訊外洩或權限提升。
.NET SOAPwn 漏洞為過惡意WSDL檔案寫入和遠端程式碼執行開啟了方便之門2025.12.11資安漏洞分析 .NET Framework 中的 SOAPwn(無效型別轉換)漏洞,揭示攻擊者如何濫用 SOAP 代理和惡意 WSDL 檔案,在 Barracuda RMM 和 Ivanti EPM 等企業應用中實現遠端程式碼執行 (RCE) 和任意文件寫入,對企業安全構成極高威脅。
警告:WinRAR漏洞CVE-2025-6218正遭受多個威脅組織的攻擊2025.12.11資安漏洞解析 WinRAR 的 CVE-2025-6218 漏洞如何被 GOFFEE、Bitter 和 Gamaredon 等駭客集團主動利用,透過惡意檔案實現遠端程式碼執行與系統持久化。
Fortinet、Ivanti 和 SAP 發布緊急補丁,修復身份驗證和程式碼執行漏洞2025.12.11資安漏洞分析 Fortinet、Ivanti 和 SAP 三大企業級軟體供應商在 12 月發布的緊急安全更新。這些更新旨在修復多個嚴重缺陷,包括 Fortinet 產品中的加密簽章驗證不當漏洞(CVSS 9.8)、Ivanti Endpoint Manager (EPM) 中的儲存型 XSS 漏洞(CVSS 9.6),以及 SAP Solution Manager 中的程式碼注入漏洞(CVSS 9.9)。這些漏洞如果被利用,可能導致未經身份驗證的攻擊者繞過安全機制或在管理員會話中執行任意程式碼,對企業網路和核心業務系統構成致命威脅。
如何使用共享訊號框架簡化零信任流程2025.12.10資安管理探討在數位化轉型浪潮中,企業如何運用共享訊號框架 (SSF) 及自動化工具,克服零信任架構實施時面臨的複雜性與工具互通性挑戰。透過詳解身份中心的安全模型、微分段技術,以及如何利用協作平台將非原生支援 SSF 的安全工具整合至持續存取評估 (CAEP) 流程中,本報告提供了一套簡化零信任部署、實現即時風險反應與提升整體安全防護的實務藍圖。
新的圖像簽名能夠經受裁剪,阻止深度偽造技術劫持信任2025.12.10資安管理探討在深度偽造日益猖獗的背景下,如何確保數位圖像的真實性。比薩大學研究人員提出了一種創新的數位簽名系統,使圖像即使經過常見的「裁剪」編輯,其數位認證仍能保持有效。該技術透過將簽名與圖像的特定區域連結,允許合法的裁剪操作,同時能有效偵測並防止內容竄改,從而提升新聞、證據與數位內容的可信度。
工業網路安全的新前線:應對 AI 驅動的毫秒級攻擊2025.12.10營運技術分析西門子首席網路安全長 Natalia Oropeza 關於工業網路安全未來趨勢的見解。核心內容涵蓋:如何從靜態防禦轉向適應性策略,應對 AI 驅動的毫秒級 OT 攻擊;對供應商實施 AI 特定認證(如 EU AI Act、ISO/IEC 42001)的必要性;強調 OT 事件回應與快速復原是工業企業必須內部化的最關鍵能力;以及透過「灰盒策略」培養攻擊者思維,以彌補 AI 開發團隊的認知多樣性。