【資安日報】5月22日,微軟修補防毒軟體零時差漏洞
5月19日微軟發布資安公告,指出防毒軟體Microsoft Defender存在兩個已遭利用的零時差漏洞,並發布更新修補。第一個漏洞是CVE-2026-41091,此為權限提升漏洞,問題出現在檔案存取之前的連結解析,導致取得授權的攻擊者能夠在本機提升權限,CVSS風險評為7.8分;另一個是阻斷服務(DoS)類型的弱點,被登記為CVE-2026-45498,影響1.1.26030.3008以前版本的防毒軟體元件Microsoft Defender Antimalware Platform,CVSS風險為4.0分。
CISA將Microsoft Defender零時差漏洞列入KEV
5月20日美國網路安全暨基礎設施安全局(CISA)發布公告,將7個資安漏洞納入已遭利用的漏洞名冊(KEV),聯邦機構必須在6月3日前完成修補。其中最受到關注的,就是微軟前一天公布的兩項Microsoft Defender零時差漏洞,其中一個是權限提升漏洞CVE-2026-41091,另一個是阻斷服務漏洞CVE-2026-45498。其餘皆為公布超過16年的已知漏洞,這些漏洞是CVE-2008-4250、CVE-2009-1537、CVE-2009-3459、CVE-2010-0249、CVE-2010-0806。
針對微軟近日修補的Microsoft Defender零時差漏洞,有專家指出已在一個月前就有概念驗證程式碼
本週微軟修補Microsoft Defender零時差漏洞,並表示已偵測到漏洞遭利用的跡象,從上述漏洞的類型及特徵來看,也令外界聯想到研究員Chaotic Eclipse一個月前公布的零時差漏洞RedSun、UnDefend,隨即有專家證實這樣的推測。微軟最有價值專家(Microsoft MVP)Fabian Bader於社群平臺X指出,CVE-2026-41091與CVE-2026-45498,分別就是Chaotic Eclipse在4月上旬公布概念驗證程式(PoC)的RedSun、UnDefend,這些漏洞在微軟發布公告前就被公開,而且也都遭到利用。
思科修補Secure Workload滿分API未授權存取漏洞
思科釋出安全更新,修補雲端零信任安全產品Secure Workload風險值10.0的重大漏洞CVE-2026-20223,該漏洞允許駭客以管理員權限透過API存取網站資源。遠端攻擊者只需對API端點發送變造的存取請求,就能濫用漏洞。成功濫用的攻擊者將可以取得Site Admin的管理員權限,跨租戶讀取敏感資訊,或竄改組態配置。該漏洞影響Secure Workload多個版本,涵括SaaS及本地部署環境,問題僅存在產品內部的REST API,不影響網頁管理介面。
Linux作業系統存在權限提升漏洞PinTheft,攻擊者可在Arch Linux取得root權限
本週V12資安團隊於GitHub公布新的Linux核心本機權限提升(LPE)漏洞PinTheft,Linux核心開發團隊收到他們的通報後已完成修補,目前沒有登記CVE編號。此漏洞出現在Reliable Datagram Sockets(RDS)通訊協定,問題源於零複製(zerocopy)傳送路徑。目前僅Arch Linux預設部署相關的RDS核心模組而存在風險,用戶若未使用RDS,最好將其停用;Canonical在部落格文章指出,根據他們的評估,CVSS評分為7.8,為高風險等級的漏洞。
研究人員揭露存在9年的Linux本機權限提升漏洞CVE-2026-46333
資安公司Qualys揭露權限提升漏洞CVE-2026-46333,此問題存在於Linux核心的ptrace路徑,可將權限提升至root,或導致洩露憑證,CVSS風險評為7.1分,Linux核心開發團隊已於5月14日完成修補。值得留意的是,此漏洞由2016年11月發布的Linux核心4.10-rc1版引入,因此影響範圍非常廣泛,而且,已有研究人員公布概念驗證(PoC)程式碼。Qualys強調,雖然利用此漏洞之前,需要實際接觸本機,但造成的影響相當嚴重。
趨勢科技修補端點防護系統Apex One已遭利用的路徑遍歷漏洞
5月21日趨勢科技發布資安公告指出,端點防護平臺Apex One、Apex One as a Service、Vision One Endpoint Security - Standard Endpoint Protection(SEP)存在一系列的資安漏洞,其中一個漏洞CVE-2026-34926,已出現遭到利用的跡象。該漏洞存在於Apex One伺服器,為資料夾路徑遍歷弱點,已事先通過身分驗證的本機攻擊者可竄改伺服器上的重要資料表,從而在列管的端點電腦注入惡意程式碼,CVSS風險為6.7分。
CISA將趨勢科技端點防護系統Apex One路徑遍歷漏洞列入KEV
趨勢科技於5月21日修補端點防護平臺Apex One多項資安漏洞,並指出中度風險的路徑遍歷漏洞CVE-2026-34926已遭到利用,同一天美國網路安全暨基礎設施安全局(CISA)將其列入已遭利用的漏洞名冊(KEV),要求聯邦機構於6月4日以前完成修補。同日,CISA的KEV也列入大型語言模型開發工具Langflow的重大漏洞CVE-2025-34291,此弱點影響1.6.9以前版本的Langflow,攻擊者可用來盜用帳號並遠端執行任意程式碼,CVSS v4.0風險評為9.4分。
Nvidia修補Triton推論伺服器多項重大漏洞,若未更新可能導致阻斷服務、資料洩漏或執行任意程式碼等攻擊
Nvidia近日發布資安公告,修補Triton推論伺服器(Inference Server)的8項漏洞,其中包含可能導致執行任意程式碼、阻斷服務,或資料遭竄改、外洩的重大漏洞,建議用戶儘速升級至已修補的26.03版。這次Nvidia修補的8項漏洞中,最嚴重的是CVE-2026-24207,CVSS嚴重性評分達9.8分,攻擊者可藉此繞過身分驗證,進而促成權限提升、阻斷服務、資料竄改、外洩等風險,甚至遠端執行任意程式碼。
AI推論框架SGLang遭揭3重大漏洞,未驗證攻擊者恐遠端執行程式碼
資安公司Antiproof揭露開源AI推論框架SGLang存在3項高風險漏洞,可能讓未經驗證的攻擊者在執行SGLang的伺服器遠端執行任意程式碼,或將檔案寫入伺服器程序具有權限存取的位置。卡內基美隆大學電腦網路危機處理暨協調中心(CERT/CC)已發布漏洞通報,將Antiproof的發現歸納為2項遠端程式碼執行漏洞,以及1項路徑遍歷漏洞,並建議使用者在修補程式釋出前,限制相關服務介面的存取。
Anthropic悄悄修補Claude Code沙箱繞過漏洞,研究人員批評陷用戶於風險中
Wyze Labs資安研究員Aonan Guan指出,Anthropic在近半年的時間裡,悄悄修補去年10月發現的Claude Code兩個沙箱繞過漏洞,卻未曾以公告或任何方式發出提醒,使廣大開發商及企業用戶暴露於攻擊風險。其中一個被登記為CVE-2025-66479,該公司於去年11月修補,另一個未登記CVE編號的漏洞,則是直到今年4月才完成修補。對此,Guan呼籲用戶應升級Claude Code至2.1.90以上版本,並應檢查連線事件記錄,並輪換憑證因應以降低風險。
Google發布Chrome 148更新,修補16個資安漏洞
Google發布Chrome瀏覽器新版本148.0.7778.178與148.0.7778.179,此次改版共修補16個安全性問題,分別是兩個重大漏洞、9個高風險漏洞,以及5個中度風險漏洞。這次Chrome修補的漏洞中,最值得注意的是重大漏洞,首先是CVE-2026-9111,存在於即時通訊元件WebRTC,屬記憶體釋放後再存取使用(Use After Free)問題;另一個是CVE-2026-9110,存在於使用者介面(UI),攻擊者能藉由特製HTML頁面進行介面欺騙(UI spoofing)。
GraphWorm惡意程式濫用微軟OneDrive作為C2通道,利用雲端服務隱藏攻擊流量
資安業者ESET近日發布報告指出,與中國有關的駭客組織Webworm,透過新型惡意程式GraphWorm向歐洲政府機構發動攻擊,這款惡意程式利用微軟Graph API存取雲端檔案共享與儲存服務OneDrive空間,作為命令與控制(C2)通道,藉由受信任的雲端服務隱藏惡意流量,提高偵測難度。除了GraphWorm,ESET還發現Webworm採用的另一個新型惡意程式EchoCreep,它將社群通訊平臺Discord作為C2通道。
新版Gremlin竊資程式以XOR編碼隱藏惡意內容,提高靜態分析難度
Palo Alto Networks威脅情報團隊Unit 42揭露新版Gremlin竊資軟體,攻擊者已強化隱匿手法,將惡意酬載藏入.NET資源區段,並以XOR編碼遮蔽,使資安工具在不執行程式的情況下,以致於很難從檔案內容找出可疑字串、API呼叫與命令控制伺服器設定。新版加入Discord權杖竊取模組,並具備加密貨幣剪貼簿竄改能力,當使用者複製加密貨幣錢包地址時,惡意程式可能偵測剪貼簿內容,並將地址替換成攻擊者控制的錢包地址。
執法機關瓦解犯罪VPN服務First VPN,FBI稱至少25個勒索軟體組織曾用於偵察與入侵
多國執法機關宣布查緝並關閉First VPN,這項VPN服務長期活躍於俄語網路犯罪論壇。歐洲刑警組織(Europol)指出,近年在重大網路犯罪調查中,幾乎都曾出現First VPN的蹤跡;犯罪分子藉此掩飾身分並隱匿攻擊基礎架構,從事勒索軟體攻擊、大規模詐欺、資料竊取與其他重大犯罪活動。美國聯邦調查局(FBI)發布FLASH資安通報指出,First VPN約自2014年開始運作,截至今年4月,仍在約27個國家提供32臺VPN出口節點伺服器(exit node servers)。
行政院5月21日聽取國科會報告,公布《人工智慧基本法》後續推動時程與部會分工。行政院將設立國家人工智慧戰略特別委員會,由行政院長擔任召集人,政務委員及各部會首長、學者及民間產業代表將擔任委員,由國科會負責統籌AI治理與研擬國家發展綱領,待行政院通過後,數發部近期也將公布AI風險分類框架,未來各部會也須依據AI風險建立產業管理規範與公部門的內控制度。數發部次長侯宜秀表示,目前AI風險分類框架已送交行政院審查,並完成跨部會意見整合,預計在近期就會公告。
加速政府朝向AI智慧化治理的發展基礎,行政院6月將發布「AI公務人才認定指引」
-63.jpg)
為建立臺灣AI人才能力標準與培育體系,行政院5月21日通過由數發部提出的「AI產業人才認定指引3.0」,該指引建立3類AI人才、5大AI能力架構,也因應《人工智慧基本法》與代理式AI的快速發展,新增AI治理素養與AI協作開發能力。同時,政府也預告6月將會發布「AI公務人才認定指引」,將AI人才培育進一步延伸至公部門。行政院長卓榮泰在院會中要求,數發部與人事總處如期完成發布作業,以作為後續政府部門辦理AI人才培育的推動依據。
SAS CIO揭內部GenAI實戰經驗:AI正在改變漏洞管理節奏
SAS資訊長Jay Upchurch日前接受專訪時特別提到AI對資安的衝擊。他指出,近期包括Anthropic等業者開始展示AI驅動的漏洞發掘能力,甚至能在存在數十年的老舊系統中找出潛藏漏洞。這意味著,企業漏洞管理流程將被迫進一步AI化。因為,過去漏洞修補往往需要發現漏洞、等待patch、安排更新、測試和再次驗證,但現在,攻擊者可能在AI找到漏洞後幾分鐘內,就發動攻擊。Jay Upchurch坦言,「漏洞管理再也不一樣了。」也因此,SAS開始用AI進行漏洞掃描、安全檢測和弱點管理,要跟上AI發現漏洞的速度。
新加坡政府公布AI代理沙盒測試結果,評估公共服務應用效益與治理風險
為了解AI代理能否實際用於公共服務,以及導入前需要處理哪些風險,新加坡網路安全局(Cyber Security Agency of Singapore,CSA)、新加坡政府科技局(Government Technology Agency of Singapore,GovTech Singapore)與新加坡資訊通信媒體發展局(Infocomm Media Development Authority,IMDA)於5月20日共同發布AI Agents Sandbox白皮書,揭露與Google合作的沙盒測試成果。
半導體廠弘塑公布勒索軟體攻擊事故調查結果,損失約2,200萬元
半導體濕製程設備製造商弘塑科技(3131)於5月21日發布資安重訊,指出4月10日資訊系統遭勒索軟體攻擊事故的後續處理情形。該公司表示,當下察覺網路異常立即中斷公司網路對外連結,並借助外部專業團隊復原營運所需資料。本次事故對公司生產及進出貨未造成重大影響,公司商業機密及重要資訊迄今未發現外洩,但這起事故還是造成損失,主要在報廢及修復受影響之軟硬體設施,再加上聘請外部專業團隊及復原資料的費用,估計金額約為2,200萬元。
近期資安日報
【5月21日】近兩個月研究人員公布的零時差漏洞已能串成攻擊鏈
CISA將Microsoft Defender零時差漏洞列入KEV
針對微軟近日修補的Microsoft Defender零時差漏洞,美國網路安全暨基礎設施安全局(CISA)也將其納入已遭利用的漏洞名冊(KEV),要求聯邦機構限期完成修補
www.ithome.com.tw
Comments (0)