Source: IThome新聞 Google釋出FunctionGemma小模型，這是以Gemma 3 270M（2.7億參數）為基礎，專門針對工具呼叫需求進行微調的版本，並同步公開一套訓練配方，讓開發者能再依自家應用的API動作集進一步微調。 Google將其設定為裝置端代理的基礎模型，目標是在手機等可本機運行的環境中，把自然語言指令轉成可執行的API動作，同時兼顧反應時間與資料隱私。 Google釋出FunctionGemma小模型，這是以Gemma 3 270M（2.7億參數）為基礎，專門針對工具呼叫需求進行微調的版本，並同步公開一套訓練配方，讓開發者能再依自家應用的API動作集進一步微調。 Google將其設定為裝置端代理的基礎模型，目標是在手機等可本機運行的環境中，把自然語言指令轉成可執行的API動作，同時兼顧反應時間與資料隱私。 See more: https://www.ithome.com.tw/news/172919

Source: IThome新聞 根據外電報導，法國上周於停靠在該國南部塞特港的義大利渡輪Fantastic上，逮捕了涉嫌於船上安裝間諜軟體的兩名嫌犯，懷疑是俄羅斯派人企圖於船上安裝遠端存取工具（Remote Access Tool，RAT）。 Fantastic隸屬於義大利航運公司Grandi Navi Veloci（GNV），為一可容納2,000名乘客及數百輛汽車的客貨兩用渡輪，主要航行於義大利、法國、西班牙及北非等地，為重要的地中海海上交通運輸工具。 根據外電報導，法國上周於停靠在該國南部塞特港的義大利渡輪Fantastic上，逮捕了涉嫌於船上安裝間諜軟體的兩名嫌犯，懷疑是俄羅斯派人企圖於船上安裝遠端存取工具（Remote Access Tool，RAT）。 Fantastic隸屬於義大利航運公司Grandi Navi Veloci（GNV），為一可容納2,000名乘客及數百輛汽車的客貨兩用渡輪，主要航行於義大利、法國、西班牙及北非等地，為重要的地中海海上交通運輸工具。 See more: https://www.ithome.com.t

Source: IThome新聞 惡意軟體針對智慧電視或電視盒裝置的情況，並不常見，不過最近有資安公司發現，與Aisuru有關的殭屍網路，竟出現綁架大量連網電視及電視盒的情況。 惡意軟體針對智慧電視或電視盒裝置的情況，並不常見，不過最近有資安公司發現，與Aisuru有關的殭屍網路，竟出現綁架大量連網電視及電視盒的情況。 See more: https://www.ithome.com.tw/news/172916

Source: IThome新聞 CISA警告華碩更新工具舊漏洞遭到攻擊 美國網路安全暨基礎設施安全局（CISA）警告，華碩已經停產的即時更新工具（Asus Live Update）存在重大漏洞CVE-2025-59374，發生駭客濫用事件，他們將其加入已知遭濫用漏洞（KEV）列表，警告聯邦政府機構強化安全防護，限期於2026年1月7日完成。 CISA警告華碩更新工具舊漏洞遭到攻擊 美國網路安全暨基礎設施安全局（CISA）警告，華碩已經停產的即時更新工具（Asus Live Update）存在重大漏洞CVE-2025-59374，發生駭客濫用事件，他們將其加入已知遭濫用漏洞（KEV）列表，警告聯邦政府機構強化安全防護，限期於2026年1月7日完成。 See more: https://www.ithome.com.tw/news/172917

📡 Source: TWCERT/CC Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。 這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。 CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。 影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。 由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。 攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行惡意指令。...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。 這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。 CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。 影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。 由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。 攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行

📡 Source: TWCERT/CC Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。 這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。 CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。 影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。 由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。 攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行惡意指令。...

📡 Source: TWCERT/CC Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。 這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。 CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。 影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。 由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。 攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行惡意指令。...

📡 Source: TWCERT/CC Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。 這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。 CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。 影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。 由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。 攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行惡意指令。...

📡 Source: TWCERT/CC Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。 這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。 CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。 影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。 由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。 攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行惡意指令。...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。 這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。 CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。 影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。 由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。 攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。 這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。 CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。 影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。 由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。 攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行

📡 Source: TWCERT/CC Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。 這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。 CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。 影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。 由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。 攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行惡意指令。...

📡 Source: TWCERT/CC Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。 這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。 CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。 影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。 由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。 攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行惡意指令。...

📡 Source: TWCERT/CC Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。 這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。 CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。 影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。 由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。 攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行惡意指令。...

Source: TWCERT/CC台灣電腦網路危機處理暨協調中心 Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日發布最高級別警報，指出編號 CVE-2025-55182 的遠端程式碼執行（RCE）漏洞已被攻擊者在實際環境中積極利用。 這項被稱為 「React2Shell」 的漏洞影響主流前端框架 React 與 Next.js，其 CVSS v3.x 嚴重度評分達滿分 10.0，顯示風險極高並可能造成廣泛衝擊。 CVE-2025-55182 是一個極為嚴重的 RCE 漏洞，它允許未經身份驗證的遠端攻擊者，在缺乏適當輸入驗證和處理的應用程式環境中執行任意程式碼。 影響範圍廣泛：此漏洞主要衝擊 React 與 Next.js 的資料處理與渲染流程。 由於 React 是全球最常用的前端框架，而 Next.js 又是其主流的服務端渲染（SSR）框架，因此相關應用的潛在受影響面積相當巨大。 攻擊方式：攻擊者可利用特定格式的惡意輸入觸發弱點，從而繞過既有的安全沙箱或資料清理機制，迫使伺服器執行

Source: IThome新聞 在11月下半登場的美國超級電腦大會SC25，群聯電子（Phison）發表新款企業級固態硬碟Pascari X201系列，以及資料中心固態硬碟Pascari D201系列，共通點是採用PCIe 5.0介面，快閃記憶體均為TLC、導入321層堆疊的設計，提供每日讀寫量1與3的機型選擇，日常運作的耗電量都低於25瓦，而且，最高效能皆相同——循序讀取與寫入分別為14,500 MB/s與12,000 MB/s，隨機讀取與寫入分別為330萬IOPS與105萬IOPS，適合嚴苛、資料密集型的存取需求，能針對AI 在11月下半登場的美國超級電腦大會SC25，群聯電子（Phison）發表新款企業級固態硬碟Pascari X201系列，以及資料中心固態硬碟Pascari D201系列，共通點是採用PCIe 5.0介面，快閃記憶體均為TLC、導入321層堆疊的設計，提供每日讀寫量1與3的機型選擇，日常運作的耗電量都低於25瓦，而且，最高效能皆相同——循序讀取與寫入分別為14,500 MB/s與12,000 MB/s，隨機讀取與寫入分別

Source: IThome新聞 Google DeepMind更新Gemini Deep Research研究代理，並向開發者開放Interactions API，讓第三方應用可把長時間的資訊蒐集與彙整流程嵌入自家產品。 官方也提到，該代理程式可在報告中提供引用來源，並支援結構化輸出，方便後續系統接手處理研究結果。 同時，Google開源名為DeepSearchQA的新基準測試，用來衡量研究型代理在多步網際網路查詢任務上的完整度。 Google DeepMind更新Gemini Deep Research研究代理，並向開發者開放Interactions API，讓第三方應用可把長時間的資訊蒐集與彙整流程嵌入自家產品。 官方也提到，該代理程式可在報告中提供引用來源，並支援結構化輸出，方便後續系統接手處理研究結果。 同時，Google開源名為DeepSearchQA的新基準測試，用來衡量研究型代理在多步網際網路查詢任務上的完整度。 See more: https://www.ithome.com.tw/news/172798

Source: IThome新聞 要求使用者依照指示操作，將惡意指令複製、貼上，然後執行的網釣手法ClickFix，是目前最為氾濫的社交工程攻擊型態，這種手法後續又出現變形，其中包含操作流程都在瀏覽器進行的FileFix，以及結合假系統更新螢幕覆蓋手法的JackFix，如今有結合OAuth身分驗證流程的新型態手法。 要求使用者依照指示操作，將惡意指令複製、貼上，然後執行的網釣手法ClickFix，是目前最為氾濫的社交工程攻擊型態，這種手法後續又出現變形，其中包含操作流程都在瀏覽器進行的FileFix，以及結合假系統更新螢幕覆蓋手法的JackFix，如今有結合OAuth身分驗證流程的新型態手法。 See more: https://www.ithome.com.tw/news/172800

Source: IThome新聞 惡意軟體NanoRemote濫用Google Drive的API隱匿行蹤 惡意軟體NanoRemote濫用Google Drive的API隱匿行蹤 See more: https://www.ithome.com.tw/news/172801