【資安日報】6月10日,Anthropic推出具有Mythos能力的Claude Fable 5
4月初Anthropic發布Claude Mythos Preview,由於挖掘資安漏洞的能力過於強大,甚至能串連多個漏洞形成攻擊鏈,當時僅提供特定的作業系統與軟體開發廠商與團隊,以及金融巨頭使用,兩個月後,該公司向社會大眾正式發布威力等同於Mythos的Claude Fable 5,為了防範該模型被濫用,此模型加入了防護措施,在處理部分主題會使用Claude Opus 4.8回應。而對於資安防護領域,Anthropic也為特定網路防禦者及基礎設施供應商提供與Claude Fable 5能力相同的Claude Mythos 5。
6月9日微軟發布本月例行更新(Patch Tuesday),公開206個由該公司登記CVE編號的漏洞,數量明顯較過往都要來得多,若是加上該公司修補362個第三方登記CVE編號的漏洞,總數將達到568個,無論是微軟登記CVE的漏洞,還是修補第三方漏洞的數量,都創下史上最多的記錄。附帶一提的是,由於第三方元件漏洞有360個與Chrome有關,微軟僅列出兩個由Arm與CERT/CC登記的弱點,這樣的做法也是首度出現。
微軟修補已被公開的零時差漏洞GreenPlasma、YellowKey、HTTP/2 Bomb
本週二微軟發布6月例行更新(Patch Tuesday),修補多達568個資安漏洞,值得留意的是,這次有3個是已被公開的零時差漏洞,根據資安新聞網站Bleeping Computer的報導,其中有2個是研究人員Chaotic Eclipse(Nightmare-Eclipse)公布的零時差漏洞。其中,CVE-2026-45586就是Chaotic Eclipse揭露的GreenPlasma,CVE-2026-50507是YellowKey。另一個已被公開的零時差漏洞CVE-2026-49160,為資安研究發布平臺Calif揭露的HTTP/2 Bomb。
研究人員揭露新的Microsoft Defender零時差漏洞RoguePlanet
根據資安新聞網站Bleeping Computer報導,Chaotic Eclipse在微軟發布6月例行更新數個小時之後,公開名為RoguePlanet的Microsoft Defender零時差漏洞,並表示該弱點涉及競爭條件(Race Condition),攻擊者利用的條件是需要引誘使用者在遠端的SMB伺服器開啟VHD或VHDX虛擬磁碟檔,成功利用漏洞後,Microsoft Defender就會覆寫該防毒軟體相關的檔案,導致遠端程式碼執行。資安公司ThreatLocker向Bleeping Computer透露,該漏洞確實有效。
6月9日SAP發布本月例行更新(Security Patch Day),總共修補15個資安漏洞,其中有4個是重大等級。根據CVSS風險評分,最危險的是CVE-2026-44748,此為SAML身分驗證當中的XML簽章包裝漏洞,影響NetWeaver AS ABAP與ABAP平臺,CVSS風險值為9.9。具備正常權限的認證攻擊者可取得有效的簽章訊息,並將修改後的XML檔案傳送給驗證者,而有可能導致被竄改的身分資訊被受理,進而導致攻擊者能未經授權存取敏感用戶資料。
Miasma蠕蟲原始碼外洩,供應鏈攻擊工具包現身GitHub
資安業者SafeDep於6月9日警告,軟體供應鏈蠕蟲Miasma透過遭入侵的開發者帳號出現在GitHub,等同於把這套攻擊工具公開化。SafeDep取得其中一份已遭下架的原始碼分析指出,Miasma不只是蠕蟲,而是一套完整的供應鏈攻擊工具包。如今,駭客透過遭入侵的開發者帳號發布名為「Miasma-Open-Source-Release」的GitHub儲存庫,將這套攻擊工具的原始碼在網路上公開。資安社群擔心,這可能重演Shai-Hulud原始碼公開後變種快速湧現的情況。
本月初Shai-Hulud蠕蟲出現變種Miasma,最早攻擊Red Hat雲端服務的NPM套件引起多家資安公司注意,後續染指AI程式碼工具ai-sdk-ollama、@vapi-ai/server-sdk等NPM套件,並導致微軟73個儲存庫遭GitHub停用,如今傳出該蠕蟲危害範圍延伸到PyPI生態圈。6月7日資安公司Socket指出,他們在PyPI發現新一波攻擊活動Hades,駭客入侵了19個套件,並上傳了37個惡意版本的套件,這些惡意套件會在開發環境的Python啟動時自動執行,下載執行環境Bun,然後執行經混淆處理的惡意酬載_index.js。
軟體供應鏈蠕蟲Miasma近日出現Hades活動,將攻擊範圍延伸到PyPI儲存庫,資安公司StepSecurity指出,駭客的手段較過往Miasma活動更加複雜,從開發環境不慎植入惡意套件後的攻擊流程,總共可分成8個階段,不僅試圖透過特定的文字區塊進行對抗性的提示注入,指示任何解析程式碼的大型語言模型忽略其下方混淆內容,誤導AI分析工具,還會在受害開發環境透過4種機制建立長期存取管道,並阻礙資安團隊撤銷被竊憑證,一旦發現權杖被撤銷,就會執行資料抹除指令。
Meta證實有2萬個Instagram帳號因Meta AI漏洞被盜,時間長達1.5個月
Meta本週證實Meta AI支援工具存在一項漏洞,讓駭客得以在AI助理協助下,盜走Instagram(IG)帳號,估計從4月中到5月,超過2萬用戶受害。根據Meta向美國緬因州檢察長辦公室的通報文件,該漏洞影響時間從2026年4月17日到5月31號止。受害者人數為20,225人。漏洞出在Meta AI的IG帳號回覆系統High Touch Support(HTS),問題發生在Meta AI程式碼路徑,使系統未驗證請求重設密碼的信箱和帳號持有人的關聯,使攻擊者能取得密碼重設連結。
本週蘋果舉辦WWDC26,除了受到各界矚目的Siri AI,蘋果也宣布將為Safari新增功能,包含能自動變更密碼的代理人Passwords、及告知網頁新資訊的代理人Notify Me,以及讓用戶口說生成外掛的Describe an Extension及依主題組織分頁的新功能。其中,Safari原本就能針對弱密碼及外洩密碼發出警告,現在新增了代理人功能Passwords,能代用戶登入網站並更新為強密碼。相關功能預計於今年秋季發布的iOS 27、macOS 27等作業系統正式提供。
VMware VCF Operations管理平臺修補多項高風險漏洞,未更新可能導致跨網站指令碼攻擊
Broadcom近日發布資安公告,修補VMware Cloud Foundation Operations(VCF Operations)管理平臺的3項高風險漏洞,建議用戶盡速更新。這次VCF Operations修補的漏洞包括CVE-2026-41722、CVE-2026-41723與CVE-2026-41724等3項,CVSS嚴重性評分均為8.0分,均屬於儲存型跨網站指令碼(Stored Cross-Site Scripting)類型問題,可能導致擁有建立政策、檢視或文字元件(Text Widget)等管理權限的惡意攻擊者,藉由注入指令碼觸發漏洞。
Apache HTTP Server修補13項漏洞,涉及記憶體安全、跨網站指令碼與阻斷服務問題
Apache軟體基金會近日發布網頁伺服器Apache HTTP Server最新2.4.68版,並修補13項漏洞,涵蓋記憶體安全、跨網站指令碼(XSS)、權限提升、阻斷服務(DoS)與越界存取等問題,建議2.4.x版的用戶儘速升級到新版本。這次修補的Apache HTTP Server漏洞中,其中一個是影響多種主流網頁伺服器產品的HTTP/2 Bomb漏洞,Apache軟體基金會登記為CVE-2026-49975,攻擊者可利用HTTP/2請求耗盡伺服器資源,導致服務無法回應。
MariaDB資料庫修補多項漏洞,含CVSS滿分10分重大漏洞
關聯式資料庫MariaDB近日發布資安公告,修補開源社群版(Community Server)與商用企業版(Enterprise Server)的多項漏洞,最受關注的是CVSS嚴重性10.0分的CVE-2026-49261,另外還有兩項CVSS嚴重性評分均為8.0的高風險漏洞,分別為CVE-2026-48165與 CVE-2026-48163,MariaDB目前尚未公開這些漏洞的細節與影響範圍。此外,相較於社群版,企業版公告還多列出一項CVSS評分8.0的漏洞CVE-2026-44168。
Ubiquiti UniFi管理平臺軟體存在重大漏洞鏈,可讓攻擊者免帳密取得root權限
資安業者Bishop Fox揭露,網通設備業者Ubiquiti的UniFi管理平臺軟體UniFi OS Server存在一組重大漏洞利用鏈,攻擊者只要能連到管理介面,可能不需帳號密碼就能繞過驗證對系統下達指令,最終取得root權限。研究人員已在UniFi OS Server 5.0.6測試環境驗證完整攻擊鏈,並確認5.0.8已修補相關問題。攻擊鏈涉及的漏洞包括CVE-2026-34908、CVE-2026-34909與CVE-2026-34910,前兩項可讓攻擊者避開前端驗證,後一項則出現在套件更新服務。
Progress修補Sitefinity平臺多項重大漏洞,包含CVSS滿分10分的憑證外洩問題
企業內容管理平臺(CMS)Sitefinity開發商Progress發布資安公告,修補5項重大與高風險漏洞,並對目前仍在支援中的Sitefinity版本發布修補,包括15.4.8630、15.3.8531、15.2.8441、15.1.8335、15.0.8234、14.4.8152及13.3.7652等版本,用戶應儘速更新。最嚴重的是CVE-2026-7312,CVSS嚴重性評分達滿分10分,問題源自Web服務憑證保護不足,可能導致未經驗證的遠端攻擊者,取得用於連接Sitefinity Insight服務的明文憑證。
Veeam修補Backup& Replication備份軟體重大漏洞,未修補可能導致備份伺服器遭受遠端程式碼攻擊
備份與資料保護軟體廠商Veeam日前發布資安公告,揭露旗下備份軟體產品Veeam Backup& Replication 12.x版重大漏洞,可能導致已通過身分驗證的網域用戶,在備份伺服器上執行遠端程式碼。由於備份伺服器通常掌握企業資料備份與復原權限,相關漏洞可能成為攻擊者的重要目標,建議用戶儘速更新。這項漏洞的編號是CVE-2026-44963,由資安公司WatchTowr研究人員發現與通報,CVSS嚴重性評分達9.4分。
針對研究人員揭露Deep Security Agent防護功能暫時失效問題,趨勢科技表示重新載入機制屬既有設計,無須修補
上週Linux版Deep Security Agent(DSA)傳出存在可能導致防護功能暫時失效的問題,趨勢科技6月8日發布正式回應,他們強調相關行為屬於產品既有設計,並非安全漏洞,不需要緊急修補。趨勢科技表示,DSA的ds_am程序會嚴格控制資源耗用,設有CPU、記憶體與檔案處理(file handle,fd)等資源使用上限,以避免影響受保護主機的正常運作。針對高負載環境中的DSA運作,趨勢科技建議用戶適度提高檔案處理(fd)上限設定,並強化縱深防護因應。
微軟調整Defender for Endpoint EDR更新機制,改由Microsoft Update派送
微軟6月5日公告,將調整企業端點安全服務Microsoft Defender for Endpoint在Windows裝置上的EDR更新機制。未來EDR更新將改採獨立更新機制,並由Microsoft Update提供,不再隨Windows每月例行安全更新一併發布。這項變更已於2026年5月下旬率先部署至Windows 10裝置,接下來會逐步擴及Windows 11,之後再涵蓋其他仍受Microsoft Defender for Endpoint支援的Windows版本。
幫助具身機器人巡檢兼顧隱私,帝濶智慧科技展示PriviSphere Robotics平臺
隨著AI應用爆發,如何在數據採集與隱私保護之間取得平衡,已成為科技演進的關鍵課題。專注於差分隱私技術、資料去識別化的帝濶智慧科技(DeCloak),於Computex 2026現場揭示最新隱私防護技術發展。該公司以隱私感知決策系統「DeCloak Brain」為核心技術,並透過「PriviSphere Robotics」平臺以整合各類具身機器人的協作應用,建構出一套具備隱私感知能力的機器人協作體系。此外,針對具身機器人可能帶來的資安疑慮,帝濶智慧也與VicOne合作,以防範機器人遭駭客入侵控制。
【臺灣資安大會直擊】國防大學理工學院電機系兼任副教授、曾經擔任漢光演習網路戰實兵操演裁判長的張克勤指出,好的網路安全演習已經成為數位國家防禦準備度的重要指標,對照國外的網路安全演習,不論從立陶宛到愛沙尼亞甚至美國,全球頂尖網安演習正在重塑國家韌性;而臺灣已站上起跑線,有自己的大規模、二年一次的網安演習CODE,但仍可借鑒國外優勢,進一步強化自身演習深度與強度。
近期資安日報
【6月9日】Check Point VPN零時差漏洞被用於勒索軟體攻擊
微軟發布6月例行更新,破紀錄修補逾560個漏洞
在6月例行更新(Patch Tuesday)當中,微軟本次修補206個旗下產品的漏洞,以及362個第三方元件的資安漏洞,其中有15個微軟認為有可能會被利用,用戶應優先處理
www.ithome.com.tw
Comments (0)