📡 Source: IThome新聞 蘋果近日收購以色列開發AI語音技術新創開發業者Q.ai，可能用來強化穿戴產品的人機互動。 投資金額可能達20億美元，為蘋果歷來第二大收購案。 路透社首先報導此事，也獲得蘋果方面的證實。 蘋果硬體業務部門副總裁Johnny Srouji表示很高興收購這家業者，而對未來可能的開發更感興奮。 🔗 Read full article : https://www.ithome.com.tw/news/173688

📡 Source: IThome新聞 華爾街日報（Wall Street Journal，WSJ）周四（1/29）引用消息來源報導，OpenAI計畫在今年第四季首度公開發行股票（IPO），希望能搶在Anthropic之前，以吸引市場資金。 🔗 Read full article : https://www.ithome.com.tw/news/173691

📡 Source: TWCERT/CC 近期，開源工作流程自動化工具n8n平台，揭露四項嚴重資安漏洞。 這些漏洞可能導致未經授權的遠端程式碼執行(RCE)或敏感資料外洩，影響多n8n版本。 由於n8n在許多企業中扮演著自動化基礎架構的「中樞神經」，集中管理 API 金鑰、OAuth Token 及資料庫帳密等高度敏感的憑證，一旦遭受入侵，攻擊者恐藉此橫向滲透企業內部網路，甚至發動大規模的供應鏈攻擊，n8n 團隊已緊急釋出修補版本，並強烈呼籲所有用戶儘速完成更新。 以下是近期揭露的漏洞詳情概述： CVE-2026-21858 (CVSS: 10.0) – 「Ni8mare」，影響版本為( >= 1.65.0 <1.121.0)：此漏洞允許未經身分驗證的攻擊者，透過 Webhook 處理過程中的「Content-Type 混淆」缺陷，繞過檔案上傳解析器並覆蓋「req.body.files」變數。 攻擊者可藉此讀取伺服器上的任意檔案(例如資料庫與設定檔)，竊取加密金鑰後偽造管理員 Session Cookie，進而利用該權限建立惡意工作流

📡 Source: TWCERT/CC 近期，開源工作流程自動化工具n8n平台，揭露四項嚴重資安漏洞。 這些漏洞可能導致未經授權的遠端程式碼執行(RCE)或敏感資料外洩，影響多n8n版本。 由於n8n在許多企業中扮演著自動化基礎架構的「中樞神經」，集中管理 API 金鑰、OAuth Token 及資料庫帳密等高度敏感的憑證，一旦遭受入侵，攻擊者恐藉此橫向滲透企業內部網路，甚至發動大規模的供應鏈攻擊，n8n 團隊已緊急釋出修補版本，並強烈呼籲所有用戶儘速完成更新。 以下是近期揭露的漏洞詳情概述： CVE-2026-21858 (CVSS: 10.0) – 「Ni8mare」，影響版本為( >= 1.65.0 <1.121.0)：此漏洞允許未經身分驗證的攻擊者，透過 Webhook 處理過程中的「Content-Type 混淆」缺陷，繞過檔案上傳解析器並覆蓋「req.body.files」變數。 攻擊者可藉此讀取伺服器上的任意檔案(例如資料庫與設定檔)，竊取加密金鑰後偽造管理員 Session Cookie，進而利用該權限建立惡意工作流

📡 Source: TWCERT/CC 二一零零科技｜公文管理系統 - Incorrect Authorization 🔗 Read full article : https://www.twcert.org.tw/tw/cp-132-10658-c5a07-1.html

📡 Source: TWCERT/CC 二一零零科技｜公文管理系統 - Incorrect Authorization 🔗 Read full article : https://www.twcert.org.tw/tw/cp-132-10658-c5a07-1.html

📡 Source: TWCERT/CC 資安研究團隊OSM(OpenSourceMalware)與Palo Alto Networks近期發布聯合警訊，指出駭客組織發起的「Contagious Interview(傳染性面試)」行動出現重大技術演變。 攻擊者不再僅依賴誘騙受害者手動執行惡意檔案，而是轉向濫用開發工具Visual Studio Code (VS Code)內建的tasks.json自動化機制。 只要開發者在受信任模式下開啟惡意專案資料夾，無須手動編譯或執行程式，惡意指令即會在背景自動觸發，大幅提高了攻擊的隱蔽性。 這波攻擊主要鎖定加密貨幣產業的軟體工程師與自由接案者。 攻擊者首先在LinkedIn、Upwork 或 Fiverr等求職與外包平台偽裝成招募人員或雇主 。 他們以高薪職缺或新專案為誘因，主動接觸警覺性較低的開發者。 在取得信任後，攻擊者會要求工程師從GitHub或GitLab下載一個專案進行測試，當工程師使用VS Code開啟該專案資料夾時，主要核心的滲透技術如下： 埋藏惡意配置：攻擊者在專案的 .vscode資料夾中

📡 Source: TWCERT/CC 資安研究團隊OSM(OpenSourceMalware)與Palo Alto Networks近期發布聯合警訊，指出駭客組織發起的「Contagious Interview(傳染性面試)」行動出現重大技術演變。 攻擊者不再僅依賴誘騙受害者手動執行惡意檔案，而是轉向濫用開發工具Visual Studio Code (VS Code)內建的tasks.json自動化機制。 只要開發者在受信任模式下開啟惡意專案資料夾，無須手動編譯或執行程式，惡意指令即會在背景自動觸發，大幅提高了攻擊的隱蔽性。 這波攻擊主要鎖定加密貨幣產業的軟體工程師與自由接案者。 攻擊者首先在LinkedIn、Upwork 或 Fiverr等求職與外包平台偽裝成招募人員或雇主 。 他們以高薪職缺或新專案為誘因，主動接觸警覺性較低的開發者。 在取得信任後，攻擊者會要求工程師從GitHub或GitLab下載一個專案進行測試，當工程師使用VS Code開啟該專案資料夾時，主要核心的滲透技術如下： 埋藏惡意配置：攻擊者在專案的 .vscode資料夾中

📡 Source: TWCERT/CC 近期MongoDB公布一項高風險資安漏洞CVE-2025-14847(CVSS 4.x：8.7)，影響多個MongoDB伺服器版本，近期已被證實遭攻擊者積極利用，全球逾8.7萬台對外公開的伺服器可能面臨敏感資料外洩風險。 該漏洞源於驗證參數長度時處理不當，允許未經身分驗證的遠端攻擊者可傳送精心設計的zlib壓縮通訊封包，藉此取得記憶體中的敏感資料，包括資料庫密碼、存取金鑰、憑證及其他敏感資料。 美國網路安全暨基礎設施安全局(CISA)已於2025年12月29日將此漏洞納入已知利用漏洞(KEV）目錄，提醒企業與政府機關優先修補。 由於PoC程式碼已公開，資安研究人員建議立即套用官方修補程式；若短期內無法立即套用修補程式，建議採取的應變措施包括：暫時停用MongoDB的zlib壓縮功能、重新評估伺服器對外開放的必要性，並同步加強日誌監控，以即時發現異常的認證或連線行為。 技術細節顯示，CVE-2025-14847發生於MongoDB Server處理zlib壓縮訊息並進行解壓時，對「解壓後資料長度」的回報/處

📡 Source: TWCERT/CC 近期MongoDB公布一項高風險資安漏洞CVE-2025-14847(CVSS 4.x：8.7)，影響多個MongoDB伺服器版本，近期已被證實遭攻擊者積極利用，全球逾8.7萬台對外公開的伺服器可能面臨敏感資料外洩風險。 該漏洞源於驗證參數長度時處理不當，允許未經身分驗證的遠端攻擊者可傳送精心設計的zlib壓縮通訊封包，藉此取得記憶體中的敏感資料，包括資料庫密碼、存取金鑰、憑證及其他敏感資料。 美國網路安全暨基礎設施安全局(CISA)已於2025年12月29日將此漏洞納入已知利用漏洞(KEV）目錄，提醒企業與政府機關優先修補。 由於PoC程式碼已公開，資安研究人員建議立即套用官方修補程式；若短期內無法立即套用修補程式，建議採取的應變措施包括：暫時停用MongoDB的zlib壓縮功能、重新評估伺服器對外開放的必要性，並同步加強日誌監控，以即時發現異常的認證或連線行為。 技術細節顯示，CVE-2025-14847發生於MongoDB Server處理zlib壓縮訊息並進行解壓時，對「解壓後資料長度」的回報/處

📡 Source: TWCERT/CC 葳橋資訊｜單一簽入暨電子目錄服務系統 - 存在3個漏洞 🔗 Read full article : https://www.twcert.org.tw/tw/cp-132-10654-23f40-1.html

📡 Source: TWCERT/CC 葳橋資訊｜單一簽入暨電子目錄服務系統 - 存在3個漏洞 🔗 Read full article : https://www.twcert.org.tw/tw/cp-132-10654-23f40-1.html

📡 Source: IThome新聞 在去年12月初舉行的re:Invent大會期間，AWS發表新的記憶體最佳化執行個體服務Amazon EC2 X8i預覽版，當中採用訂製版的英特爾Xeon 6處理器平臺，可提供公有雲領域最高的運算效能與最快的記憶體存取，適用的工作負載類型，包括記憶體內資料庫與資料分析系統、大型傳統資料庫系統、電子設計自動化系統。 🔗 Read full article : https://www.ithome.com.tw/review/173571

📡 Source: IThome新聞 全球在地生活評論巨頭Yelp周三（1/21）宣布，已與AI潛在客戶管理暨通訊（Lead Management and Communication）平臺Hatch簽署併購協議，將以3億美元的現金收購Hatch，以加速Yelp的AI轉型。 🔗 Read full article : https://www.ithome.com.tw/news/173569

📡 Source: IThome新聞 資安業者Cymulate研究團隊揭露，Windows在進行Kerberos服務驗證時，建構服務主體名稱（Service Principal Name，SPN）的流程會跟隨DNS回應的CNAME別名，並以別名主機名稱向票證授權服務TGS索取服務票證。 研究人員指出，要是攻擊者能在網路路徑上攔截或竄改受害者的DNS查詢，就可能誘導用戶端替攻擊者指定的SPN索取票證，再把票證中繼到未強制簽章或未強制通道（Channel）綁定權杖CBT的服務，達到冒用使用者身分存取資源的效果。 🔗 Read full article : https://www.ithome.com.tw/news/173567

📡 Source: IThome新聞 在2021年，HPE針對遠端辦公室與中小企業市場增設專用的入門級L2交換器設備，名為Aruba CX 6000系列，長年提供48埠、24埠、12埠的GbE交換器組態，總共有6款機型，其中4款支援乙太網路供電（PoE）。 🔗 Read full article : https://www.ithome.com.tw/review/173558

📡 Source: TWCERT/CC 銘祥科技實業｜多合一室內空氣品質監測器（IAQS）與觸控型7吋IoT預警控制系統（I6）- 存在2個漏洞 🔗 Read full article : https://www.twcert.org.tw/tw/cp-132-10652-4cdca-1.html

📡 Source: TWCERT/CC 銘祥科技實業｜多合一室內空氣品質監測器（IAQS）與觸控型7吋IoT預警控制系統（I6）- 存在2個漏洞 🔗 Read full article : https://www.twcert.org.tw/tw/cp-132-10652-4cdca-1.html

📡 Source: TWCERT/CC 銘祥科技實業｜多合一室內空氣品質監測器（IAQS）與觸控型7吋IoT預警控制系統（I6）- 存在2個漏洞 🔗 Read full article : https://www.twcert.org.tw/tw/cp-132-10652-4cdca-1.html

📡 Source: TWCERT/CC 銘祥科技實業｜多合一室內空氣品質監測器（IAQS）與觸控型7吋IoT預警控制系統（I6）- 存在2個漏洞 🔗 Read full article : https://www.twcert.org.tw/tw/cp-132-10652-4cdca-1.html