iThome

新聞AppArmor是強化Linux安全的重要機制，一旦設計存在缺陷，反而可能成為攻擊者利用的切入點。資安公司Qualys揭露一組名為CrackArmor的漏洞，指出AppArmor存在多項設計缺陷，攻擊者可藉此在本機環境將權限提升至root，對系統安全構成重大威脅。Qualys表示，這些漏洞主要屬於混淆代理（Confused Deputy）類型的問題，攻擊者可利用AppArmor在處理權限與資源…

新聞新字型渲染攻擊手法讓AI助理誤以為網頁無害，可誘騙使用者執行惡意指令資安公司LayerX揭露名為Poisoned Typeface的新型攻擊手法，攻擊者僅透過在網頁上使用自定字型與CSS樣式表，即可讓ChatGPT、Claude、Gemini等AI助理誤判網頁安全性，進而誘導使用者執行惡意指令，凸顯AI在網頁內容判讀的盲點。LayerX強調，這種攻擊不需利用瀏覽器漏洞，也不需JavaScrip…

新聞Oracle正式發布Java 26，並推出Oracle Java Verified Portfolio（JVP）。該版本具有10項以JDK Enhancement Proposal（JEP）形式發布的功能更新，Oracle也把商業支援範圍從JDK延伸到Java圖形介面框架JavaFX、雲端原生Java微服務框架Helidon，以及適用於VS Code的Java Platform Extensi…

新聞在政府推動淨零排放與永續醫療的策略下，國內醫療體系動也開始加速減碳布局。雙和醫院宣布與部立臺北醫院、部立基隆醫院、中英醫院及板英醫院成立「永續醫療聯盟」，並與工研院合作導入能源與碳管理技術，加速國內醫療體系向低碳轉型。在人口老化的趨勢下，醫療體系已成為民眾生活上不可或缺的關鍵基礎建設，且醫院全天24小時運作，耗費大量能源，為推動醫療產業淨零減碳，政府已將醫療納入淨零的關鍵場域之一。環境部指出，…

新聞Google公布兩項與英國國民保健署（NHS）相關機構合作進行的乳癌篩檢研究，評估AI乳房攝影（Mammography）判讀系統在既有臨床流程中的表現與導入可行性。研究顯示，該系統在前瞻性試驗中，從完成篩檢到完成AI判讀的中位時間為17.7分鐘，快於第一位人類判讀者完成判讀所需時間（超過2天）。另一項流程研究則估計，要是由AI擔任第二判讀者，可減少46%的人力判讀量，整體人力判讀時間可減少36…

新聞上週末3家資安公司Socket、Aikido，以及Step Security針對蠕蟲GlassWorm的活動提出警告，指出相關活動已影響Open VSX、GitHub、NPM，以及PyPI專案的儲存庫，現在最新的調查結果指出，這是同時鎖定4個平臺的協調攻擊。資安社群平臺OpenSourceMalware揭露，GlassWorm供應鏈攻擊行動持續擴大，最新一波攻擊同時鎖定GitHub、NPM、V…

新聞駭客針對資安公司或研究人員的情況，已有多起事故，最近有一起濫用思科網域與Cloudflare圖靈驗證的網釣攻擊，使得資安公司對此提出警告，要業界小心防範。資安公司Specops揭露針對歐洲資安公司的複雜釣魚攻擊行動，母公司Outpost24的威脅情報團隊於3月13日發現，有人假借網路設備大廠思科名義從事複雜的網路釣魚活動，其攻擊手法相當複雜，駭客利用多種受到信任的服務，以及遭入侵的基礎設施，來…

新聞美國證券交易委員會（SEC）周二（3/17）發布最新解釋文件，首度明確指出多數加密資產本身並不屬於證券，並與商品期貨交易委員會（CFTC）協調監管分工，兩大機構聯合背書，為長期模糊的加密市場建立基本分類架構。SEC在文件中將加密資產區分為數位商品、數位收藏品、數位工具、穩定幣與數位證券，並指出其法律性質的判斷關鍵在於是否構成「投資契約」。亦即，當投資人投入資金，並期待透過特定團隊或第三方的努力…

新聞上週資安公司Socket與Aikido針對最新一波蠕蟲GlassWorm活動提出警告，Socket自1月底於Open VSX儲存庫看到72個有問題的VS Code延伸套件，Aikido於3月上旬在GitHub發現151個疑似有問題的儲存庫，並指出NPM套件也是駭客攻擊的目標。如今有新的調查發現，這波蠕蟲攻擊活動的影響範圍，已延燒到Python儲存庫。資安公司StepSecurity揭露名為Fo…

新聞以排除電腦運作異常或要求執行圖靈驗證為誘餌，引誘使用者依照指示複製特定內容，並貼上執行的社交工程手法ClickFix，已是惡意軟體最常見的散播管道，現在有勒索軟體加入行列，藉此隱匿初期入侵受害組織的活動。資安公司ReliaQuest指出，勒索軟體集團LeakNet近期攻擊行動出現明顯升級，攻擊者導入ClickFix社交工程手法與新型Deno惡意程式載入工具，強化初始入侵與後續滲透能力，顯示該組…