圖片來源: 

聯想

聯想ThinkPad筆電BIOS爆重大零時攻擊漏洞

繼去年的Superfish後,一名獨立安全研究人員發現,聯想ThinkPad筆電系列的韌體再出現未修補的漏洞,可使駭客取得管理權限而執行任意程式碼。此外,傳出其他品牌電腦也在受害之列。

自稱為Dmytro Oleksiuk的網友指出,名為ThinkPwn的零時權限升級漏洞存在聯想筆電韌體的SystemSmmRuntimeRt UEFI 驅動程式中。它可讓駭客經由在聯想產品的System Management Mode (SMM)中執行任意程式碼,關閉快閃記憶體的寫入防護而感染平台韌體、關閉Secure Boot、繞過Windows 10 Enterpirse的Virtual Secure Mode而遂行惡意目的行為。(詳全文)

 

【DevOps Summit焦點】百度貼吧DevOps經驗大公開

蔚為中國最大社群論壇的百度貼吧(簡稱貼吧),每天訪問次數30億人次,累積13年的貼文數量更達930億則,同時,因應行動裝置的發展,百度開始經營影像直播、電影及遊戲等服務,每天交付至正式環境的程式碼變更高達100次,對於工程團隊也是相當龐大的壓力。(詳全文)

 

MongoDB推出資料庫即服務Atlas與原生Spark連接器

(圖片來源/MongoDB)

NoSQL資料庫MongoDB推出資料庫即服務(DBaaS)MongoDB Atlas,提供使用者資料庫託管服務,首先支援AWS,計畫將陸續支援微軟Azure和Google雲端平臺。同時,MongoDB也釋出原生Spark連接器,整合MongoDB和Spark大數據分析能力。(詳全文)

 

Google釋出Android情境感知API,提醒開發者不要太擾人

Google上個月在其I/O開發者大會上揭露的Android情境感知API (Awareness API),如今終於正式上線,不過Google特別提醒開發者,不要太頻繁通知用戶以免構成打擾,也要考量過多通知可能帶來的耗電問題。

Google的Awareness API是可讓開發者利用一組來自Android裝置蒐集的情境訊號,並據以提供相對應App使用體驗的新工具,開發者可以就時間、位置、地點類型、使用者行為、附近的Beacon、耳機與天氣等資訊,來讓開發者為其App增加情境感知互動功能。

Google此次釋出的Awareness API有兩種形式,分別為直接要求使用者當前情境狀態,如目前位置與其天氣狀況的Snapshot API,以及針對使用者所處情境有所改變,或其改變成為特定預設狀態時進行反應的Fence API。後者運作方式與Google目前的Geofencing API相似,即使App在使用者達到特定預設情境狀態時並未執行,系統還是會對App發出通知。(詳全文)

 

思科以2.9億美元買下CloudLock,讓企業安全政策上雲

(圖片來源/CloudLock)

CloudLock提供基於API架構的雲端安全解決方案,藉由API整合平台以追蹤資料的分享及潛在的安全威脅,協助企業將內部的安全政策擴大套用到雲端應用服務上。(詳全文)

 

微軟、紅帽與Codenvy攜手發展語言伺服器協定

(圖片來源/GitHub)

該語言伺服器協定為開放源碼專案,目的是讓開發人員在自己喜愛的編輯器中使用任何語言。目前該協定已支援JSON、C++ 及Powershell等語言,今年還會納入C#、xText、 R by Typefox、JavaFX by Ensime及CSS by Microsoft等。(詳全文)

 

AWS資料中心前進孟買,成印度首個AWS可用區域

亞馬遜(Amazon)在1月時才在韓國首爾啟用AWS機房,又於本周一(6/27)宣布在印度孟買設立AWS資料中心,而孟買成為AWS印度地區第一個可用區域(Availability Zone),也是亞太區第6個AWS可用區域,提供EC2、EBS、虛擬私有雲、自動擴充、ELB等服務。

不過,AWS印度地區尚未支援一些較新的服務,如ECS(EC2 Container Service)、AWS Lambda等。此外,Amazon也在印度的3個城市設立AWS節點,包含了孟買、清奈和新德里,這3個印度AWS節點支援Route 53、CloudFront和S3 Transfer Acceleration服務。(詳全文)

 

賽門鐵克防毒軟體爆漏洞,25項旗下產品可能受駭

Google Project Zero安全研究人員發現賽門鐵克(Symantec)旗下安全產品存在多項高風險漏洞,可能導致駭客取得用戶PC控制權限,從企業到消費者產品皆受影響。賽門鐵克已發佈安全公告與修補程式。

Google Project安全研究人員Tavis Ormandy指出,新發現的漏洞包括多個可植入後門程式的遠端程式碼執行漏洞。這些漏洞十分危險,不需要任何使用者互動就能產生危害,影響產品的預設組態,而且惡意軟體可以以最高權限執行。在某些Windows環境下,具有漏洞的程式碼甚至被載入核心,進而導致遠端核心記憶體毁損攻擊。

由於賽門鐵克所有產品線採用相同的核心引擎,因此這些漏洞將影響該公司旗下涵括17項企業產品品牌Symantec及8項消費品牌諾頓(Norton)防毒軟體,包括所有平台版本的Norton 360、Endpoint Protection、Email Security及Protection Engine,以及Symantec Protection for SharePoint Servers等。(詳全文)

 

中國行動程式管理規定8月上路,整頓App生態

中國互聯網信息辦公室(網信辦)在周二(6/28)發布了《移動互聯網應用程序信息服務管理規定》,主要用來規範中國的行動程式開發人員及市集,包括要求開發人員必須針對註冊用戶進行身份認證,記錄使用者的活動,且至少保存60天,另也要求程式市集核實程式開發人員的身份。此一規定將於今年8月1日生效。

中國擁有超過9億的行動用戶,是全球最大的行動市場,且因Google Play並未進駐中國市場,更讓中國的第三方行動程式市集蓬勃發展,估計當地已有超過200個行動程式市集,前三名依序是奇虎的手機助手(360 Mobile Assistant)、騰訊應用寶(Myapp)及百度應用(Baidu Mobile Assistant)。(詳全文)

 

Azure Stack明年第一季正式上市

(圖片來源/Azure Stack)

Azure Stack預計於明年第一季正式上市,而底層為Windows Server 2016,微軟同時宣布,Windows Server 2016預計於今年10月正式推出。另外,微軟預計下周推出第2個技術預覽版,在Azure Stack技術預覽版第2版之中,微軟會增加快速部署、更新與調整虛擬機器的功能。(詳全文)

 

研究:Android裝置加密不牢靠,恐曝資安風險

採用Qualcomm處理器的Android裝置因含有兩個安全漏洞,使得駭客可取得全磁碟加密FDE的裝置加密金鑰DEK,只要再破解使用者設定的PIN碼、密碼或操作手勢密碼,就可能竊取裝置上加密的資訊。儘管Google已修補兩個漏洞,但因為該漏洞涉及硬體層設計,研究人員認為可能需變更硬體設計才能完全修補漏洞。(詳全文)

 

Android N名稱定案:Nougat牛軋糖

(圖片來源/Google)

Google開放外界為Android N命名投稿,最終拍板定案代號為Nougat牛軋糖,正式名稱為Android 7.0,目前Nougat推出第2個beta版,正式版預計在今年夏天推出。(詳全文)

熱門新聞

Advertisement