漏洞

韓國網路振興院統計第三季CVE公佈的第7級以上漏洞，Google在694個漏洞中佔了155個，以22%居冠，其次是Adobe(15%)、甲骨文(10%)及微軟(10%)，若以更危險的9級以上漏洞來看，微軟在36個9級以上漏洞中佔了20個較嚴重。

OpenSSL上周釋出OpenSSL 1.1.0C，共修補三項漏洞，其中CVE-2016-7054為高風險的DoS漏洞，存在於採用CHACHA20-POLY1305密碼套件的TLS傳輸，屬堆積緩衝區溢位漏洞，可癱瘓伺服器。

資安專家看到新聞報導，有駭客用iPhone癱瘓了美國緊急電話911，進而在iOS平台WebView元件中發現了一個臭蟲，可以讓駭客暗中撥打使用者的iPhone到指定號碼。

本周Android釋出安全更新，修補了自2007年釋出Linux 2.6.22版本中便存在的Cow漏洞，駭客可透過該漏洞取得唯讀記憶體寫入權限，擴張自己的權限。

研究人員揭露了兩個MySQL漏洞分別為重大及高度風險漏洞，最嚴重可讓駭客取得資料庫最高權限，受影響的包含MySQL 5.5.51、MySQL 5.6.32及MySQL 5.7.14及之前版本，還有基於這些版本的MariaDB與PerconaDB。

Google提前揭露的Windows零時攻擊需結合Windows核心及Flash漏洞，再經由瀏覽器入侵使用者電腦，微軟指出針對該漏洞發動攻擊的是俄羅斯駭客團體Strontium，目前修補程式已在測試中，預定在11月8日釋出給所有客戶。

安全專家指出當用戶瀏覽的網站或開啟郵件中的附檔含有惡意的JPEG檔案，就會執行惡意程式，受影響的作業系統包含iOS、macOS、tvOS與watchOS。

駭客鎖定手機DRAM存在的Rowhammer漏洞，只要重複造訪隔壁列的記憶元，造成記憶體控制電路電壓波動，影響目標記憶體列，造成位元翻轉現象，在持續變更記憶體內的位元，最終將能操控作業系統數據並取得最高權限。