漏洞

據外媒 MSPoweruser 報導，近日 Google 的 Project Zero 團隊公佈了一個 Windows 10 中高嚴重度的概念驗證代碼。而這個 Project Zero 團隊是專門發掘公司內 (Google) 的軟件及其他公司軟件中的漏洞，並會私下向供應商報告，並會在公開宣佈前給它們 90 日時間進行修復。 這個 Google 公佈的漏洞屬於權限提升類型，涉及 splwow64.exe 程式。研究團隊發現一個惡意程式可向 splwow64.exe 程式發送本地過程調用 (L

一位安全研究人員 Lykkegaard 最近公佈了 Windows 10 個權限升級漏洞，這個漏洞可讓無權限的人員在關鍵檔案文件夾內新增任何檔案。 Windows 中的 system32 是存放了系統重要檔案的文件夾，且需要擁有權限才能存取。Lykkegaard 發現在 Win 1o 內只要打開了 Hyper-V，就能突破這個限制。這會被惡意軟件利用，進行惡意檔案植入等行為。 而美國電腦緊急回應小組 (CERT) 的研究員 Will Dormann 認

資安機構 PerimeterX 在其最新的報告指，基於 Chromium 核心的瀏覽器，存在一個能被繞過的 CSP  (內容安全策略) 漏洞。這個漏洞讓攻擊者能輕易地竊取數據或執行惡意代碼，建議用戶更新至 Chrome 84 或更新版本。 這次的漏洞名為 CVE-2020-6519，而且除了在 Chrome 瀏覽器內能找到外，同樣亦存在於 Opera 與新版 Edge 瀏覽器上。而目前 Google 已於 Chrome 84 版本修補漏洞，資安專家建議盡快對其進行更新。 CS

Zoom 在疫情推動下大受歡迎，不過卻接二連三發生資安問題，後來承諾為收費用戶提供更高強的保安加密。且期間還曾停止新功能發佈 90 天，以修復軟件內的各種漏洞。 近日，安全研究員 Tom Anthony 公佈了 Zoom 的一個重要安全漏洞。而透過這個漏洞，任何人都可以加入受密碼保護的 Zoom 會議。Zoom 的會議預設由 6 位數字密碼保護，所以僅有 100 萬個不同的密碼組合。 而 Zoom 的客戶端允許任何人檢查會議密碼的正確性，且無任何錯

資訊安全公司 Check Point 早前發現一個在Windows Server 存在了 17 年而未被發現的嚴重漏洞 (SIGRed)。而 Microsoft 在收到此報告後，將該漏洞 (CVE-2020-1350) 列為 CVSS 風險評分系統最高風險的 10 分，並緊急釋出了修復程式。 Check Point建議，使用 Windows Server 2003 至 2019 的使用者盡快安裝修復程式，以維護系統安全。 Microsoft 在 7 月 14 日的釋出了修復程