安全漏洞

剛在 3 月底推出版本 100 的 Google Chrome 今早向用戶發佈桌面版本更新版本 100.0.4896.88 ，修正多個嚴重程度達「高」的保安修正，雖然不似 Chrome 100 發佈前那次零日漏洞那麼嚴重，不過從其中一個重用已釋放記憶體漏洞獲發 US$6,000 獎金來看，漏洞的嚴重性也不容忽視。

Apple 今日同時釋出 iOS/iPadOS 15.4.1 和 macOS 12.3.1 更新，除了解決多個已知問題外，更重要是要修補多個已被惡意份子利用的漏洞！

Google 日前發佈 Chrome Windows 版、 Mac 版和 Linux 版的緊急更新版本 99.0.4844.84 ，表示有匿名保安專家發現 Chrome 存在一個高風險漏洞，而且已經被惡意份子利用， Google 呼籲用戶盡快更新。而同樣採用 Chromium 引擎的 Microsoft Edge 亦在上周末發佈修補漏洞的更新版本 99.0.1150.55 。

Apple 今晨正式發佈 iOS/iPadOS 15.3 ，修正早前被公開的Safari洩漏瀏覽履歷和 Google ID 的漏洞。

日前《 PCM 》曾報道 macOS Safari 15 和 iOS/iPadOS 15 內的 Safari 被發現暴露用戶瀏覽紀錄和 Google 用戶 ID ，並且因為 Apple 未有及時修補漏洞而被公開，這終於迫使 Apple 要動手處理，並相信稍後就會推出修補版本。

這幾年， Apple 在 Safari 加入不少阻擋廣告追蹤的功能，不過日前就老貓燒鬚，被發現藏有漏洞，令惡意網站可以竊取用戶的最近瀏覽紀錄，以至連結到 Google 帳戶的部分個人資料。

上星期報道 Java 日誌框架 Apache Log4j 被發現可以遙控執行任意程式碼漏洞「 Log4Shell 」，技術人員議論紛紛，因為 Log4j 太普及，影響範圍廣泛，想修補工程也太浩大。最近就有網絡保安公司在 GitHub 上推出「疫苗」，用以毒攻毒的方法協助 IT 人員快速修補漏洞。

一款獲不少企業採用的 Java 日誌框架 Apache Log4j 日前被發現存在漏洞，黑客可以透過特製的資料請求封包在伺服器上執行任意程式碼⋯⋯聽起來好像跟我們用家無關，不過如果說連 Apple iCloud 、遊戲平台 Steam 甚至自建的 Minecraft 伺服器都用這套日誌框架的話，可想而知波及範圍有多大。

現在有很多程式標榜開源，讓所有人可以隨時下載源程式碼來審核，以防止有邪惡程式員在程式裡刻意製造漏洞甚至藏入惡意功能。不過你有沒有想過看似完全無害的字母，人眼和程式編譯器看起來可以完全不一樣，從而將正常的程式變成魔鬼？劍橋大學電腦研究所剛剛就發表論文，披露一種嶄新的源程式碼瞞騙手法，人類審查員單憑肉眼難以分辨出源程式碼「有餡」！

今晚 Apple 發表新 iPhone，iOS 15 也會短期推出，不過 iOS 14 在今日仍有最新更新，iOS 和 iPad OS 14.8 針對兩個重要的安全漏洞修復， 其中一個是針對 Apple Blastdoor 保護系統的攻擊，Apple 建議所有用戶儘快安裝。 同時推出還有 watchOS 7.6.2 和 macOS Big Sur 11.6。