漏洞

Netgear已釋出旗下R7000、R6400、R8000三款路由器新版韌體，修補先前安全通報＃582384揭露的重大漏洞，用戶現在可依型號下載更新韌體。

Wycheproof專案沿用了軟體工程師以單元測試來修補及預防臭蟲的手法，可偵測已知漏洞或檢查加密演算行為的單元測試，可用來測試大多數的加密演算法，包含RSA、橢圓曲線加密及認證加密等。

新版本除修補72個漏洞外，還改善了若干功能，例如改進自動解鎖、Touch Bar Control Strip新增中文觸控板手寫按鍵、系統完整保護停用等等，已安裝的用戶發現蘋果拿掉了桌面右上方電池下拉的電池剩餘時間資訊。

17項修補的漏洞中包含一個已被攻擊的零時差漏洞CVE-2016-7892，該漏洞屬於釋放後使用漏洞，已有駭客鎖定恐漏洞對Windows上的IE用戶進行目標式攻擊。

卡內基美隆大學的CERT協調中心公布Netgear R7000與R6400兩款路由器的韌體存在重大漏洞，駭客只要誘騙使用者造訪惡意網站，就能遠端入侵路，以根目錄權限執行任意指令。安全社群指出R8000使用的韌體也有相同漏洞。

被發現的重大漏洞為Yahoo郵件的附加連結功能，由於缺乏過濾機制予以封鎖，駭客可寄送含有惡意程式的郵件，被害者沒有點選連結或開啟檔案就會被感染，Yahoo已接到通報並於11月底修補該漏洞。

研究人員指出由中國的銳嘉科所打造的Android韌體中含有一個特權的二進位程式，可用來檢查OTA更新，由於OTA通訊並未加密，使駭客能伺機取得根權限並執行任意程式，估計55款型號280萬Android裝置受影響。

該漏洞存在於採用LUKS統一金鑰設定的Linux版本，LUKS為執行Linux硬碟加密的標準機制，通常搭配Cryptsetup工具使用，受影響的Linux版本包括Debian、SUSE Enterprise Linux、Red Hat Enterprise Linux、Ubuntu與Fedora。