漏洞

Perception Point發現Linux核心中的鑰匙圈機制（keyrings facility）存在漏洞，允許駭客取得最高權限以在核心中執行程式，影響Linux Kernel 3.8之後的版本，但目前尚未察覺任何針對該漏洞的攻擊程式，但也不確定是否曾遭到攻擊。

日前，Perception Point資安研究團隊發現Linux Kernel的零時差漏洞CVE-2016-0728，該漏洞從2012年就存在至今，影響Linux Kernel 3.8及以上的版本，並且估計影響近百萬臺Linux PC、伺服器，以及近7成的Android裝置，而受影響的Linux版本包含了RHEL 7、CentOS Linux 7、Scientific Linux 7、Debian Linux 8.x（jessie）和9.x（stretch）、SUSE Enterprise 12等。

資安研究人員去年即發現Gatekeeper藏有漏洞，因為它只會檢查使用者安裝時所執行的第一個檔案，而不會檢查第二個執行檔案，而讓駭客有機可趁。蘋果兩次修補僅將惡意檔案列入黑名單，研究人員只要找到未被列入黑名單、且可重新包裝以用來安裝惡意程式的檔案就能繞過Gatekeeper。

OpenSSH用戶端軟體5.4到7.1版中的roaming功能被發現兩項漏洞，分別為記憶體暴露（或稱資訊外洩）及堆積式緩衝溢位攻擊漏洞，記憶體暴露漏洞可讓惡意SSH伺服器竊取用戶電腦記憶體內容，包括加密私鑰。而緩衝溢位漏洞還需要進行其他人為設定，因此實際情況下發生率很低。

除了修補漏洞之外，Juniper決定一舉置換ScreenOS 6.3所使用的兩個隨機亂數產生器，預計在今年上半年換成另一平台Junos OS所使用的隨機亂數產生機制。

最新的WordPress 4.4.1出爐，該版本一口氣修補了52個臭蟲，包含WordPress 4.4及之前的版本都受到的XSS漏洞。官方強烈鼓勵用戶立即更新WordPress網站。

根據CVE Details所統計的2015年CVE漏洞數量排行榜，前十名依序是Mac OS X、iOS、Flash Player、Air SDK、Air SDK & Compiler、AIR、IE、Chrome、Firefox及Windows Server 2012。

Google抓蟲大隊警告：擁有近900萬名用戶的Chrome瀏覽器外掛Web TuneUp設計漏洞，恐導致用戶外洩個資