漏洞

根據外媒 Bleepngcomputer 的報導，Google 旗下匿名安全研究人員昨日在檢查 Chrome 瀏覽器安全時，發現有含有代號「CVE-2022-1096」的漏洞，且已被黑客被利用，因此 Google 已緊急釋出 99.0.4844.84 的安全更新，以避免用戶的個人資料盜取。 代號「CVE-2022-1096」漏洞屬於高風險級別，它是 Chrome V8 JavaScript 引擎中的「類型混淆 (Type Confusion)」漏洞。當黑客成攻入侵目標後，一般會造成瀏覽器崩

近日 Hikvision 海康威視已經承認一個最高級別的嚴重漏洞，此漏洞由研究人員 Watchful_IP 發現，而受影響範圍估計超過 100 多萬台相關設備。 研究人員表示這個漏洞極其容易被利用，只需訪問 http(s) port（通常為 80/443），且不需要用戶名與密碼，亦不會被設備的任何日誌檢測到。而 CVE-2021-36260 的編號已被保留，不過尚未發佈任何信息。 根據 Watchful_IP 所指，此漏洞可完全控制這些設備中的底層電腦，並具有不受限制的 ro

台灣 NAS 大廠 Synology 群暉科技最近連續修正多個 DSM（Synology NAS 的作業系統）及相關套件漏洞，除了早前有一些網友遭暴力攻擊，NAS 被入侵、檔案被加密外，上月發佈新的 DSM 7 更是出現了嚴重的 Bug (Btrfs 檔案系統相關，詳細可參考以下相關文章)，有不少用戶在 FB 群組回報災情，有機會導致儲存空間損毀，資料盡失。 而今次，Synology 又連修數個漏洞，當中更包含命令注入漏洞，黑客可利用漏洞入侵用戶的 DSM 系統，並執行任意命令。因

近日，中國互聯網信息辦公室 (CAC) 發佈新的披露規定，當中要求何發現電腦系統、網絡產品中的重大漏洞的安全研究人員，必須在提交報告兩天內向政府相關部份披露這些漏洞。 當中的第四條指出，禁止任何組織或個人，利用這些安全漏洞從事危害網絡安全的活動，且不得非法收集、出售、發佈網絡產品安全漏洞訊息。除此之外，新規定還禁止將漏洞披露給產品製造商以外的「境外組織或個人」，而於公佈漏洞應同時發佈修復或預防措施。另外第九條第三則指出，不得故意誇大安全漏洞的危害及風險，不得利用這些漏洞進行惡意炒作

最近在 Windows 上出現了 PrintNightmare 漏洞 (CVE-2021-34527)，影響 Print Spooler 服務，黑客可取得管理員權限，並安裝執行惡意代碼、變更或刪除檔案等等。 其後 Microsoft 在 7 月 6 日釋出修復更新，不過被一些安全研究員發現，這個更新的修復不完整，黑客依然可以利用 Print Spooler 進行攻擊，甚至質疑 Microsoft 並未有為其進行詳細的測試。 除了修復未完成外，這次更新更影響了不少打印機設備不能