漏洞

加拿大多倫多大學 Citizen Lab 團隊上月發表研究報告，分析九家常見雲端拼音輸入鍵盤的安全性，發現九家廠商中有八家輸入法軟件都存在嚴重漏洞，可以讓惡意分子截取到用戶的輸入內容。研究人員除了呼籲用戶立即更新輸入法和作業系統外，還建議用戶停止使用任何輸入法提供的雲端建議功能，改為使用完全離線的輸入法，以避免資料外洩。

Apple 今日凌晨發布 iOS 16.6.1、iPadOS 16.6.1、watchOS 9.6.2 及 macOS 13.5.2 更新，修正 imageIO 及銀包的漏洞，導致任意程式碼可被執行。Apple 更在公告指出有關漏洞可能已被人利用。用戶應該立即更新各 Apple 裝置。

在日前舉行的 USENIX 安全座談會上，紐約大學和荷語魯汶天主教大學的研究團隊就發表報告，指出有兩種合稱 TunnelCrack 的漏洞，可以截取 VPN 數據，更嚴重的是大多數 VPN 客戶端都存在這個漏洞。

Apple 今日為 iOS、iPadOS 和 macOS 推出一系列更新，不單止現時的 iOS/iPadOS 16 和 macOS Ventura，連 iOS 15、macOS Monterey 和 Big Sur 都有份。Apple 指發現多個漏洞，包括一個可修改敏感核心狀態的漏洞正被黑客利用。

Adobe 日前就公布旗下的 Adobe Acrobat 和 Acrobat Reader 出現漏洞，有機會執行任意程式碼，大家應該立即更新有關軟件。

美國電腦安全緊急應變團隊協調中心 CERT/CC 日前發出警告，指部分 UEFI 實作存在漏洞，讓惡意分子可以在系統管理模式 (SMM) 下獲得本機的管理員權限，以執行任意程式碼。

Twitter 日前公布遭受零日攻擊，超過 540 萬帳戶的手提電話和電郵地址被洩露。由於 Twitter 無法確認每一個潛在受到攻擊的帳戶，所以發出公開通告呼籲高急用戶如記者或政治活躍分子可能會成為國家或其他惡意分子的攻擊對象。

正當大家準備迎接 iOS 14.5 的新功能和傳聞中月底舉行的 Apple 春季發表會時， Apple 今早突然發佈 iOS/iPadOS 14.4.1 、 watchOS 7.3.2 和 macOS Big Sur 11.2.3 緊急更新。 Apple 指今次是保安更新，防止惡意分子利用經過改造的網站來入侵裝置，大家應該立即更新 iPhone 、 iPad 和 Mac 機。

資訊安全公司 ZDI 揭露 79 款 NETGEAR 路由器有一個尚未修補的漏洞，黑客可利用緩衝區溢位攻擊，遠端取得裝置的完全控制權。目前 NETGEAR 已發布產品安全性通知，呼籲用戶進行韌體更新及緊急處理。

Thunderbolt 爆出 7 大驚人漏洞，攻擊者可以在鎖上電腦甚至硬碟已加密的情況下竊取資料，受影響的包括舊版獨立 Thunderbolt 端口，以至近年所採用、兼容 USB-C 的 Thunderbolt 3 端口， 2011 年至 2020 年發售採用 Thunderbolt 端口的電腦都無一倖免，重災區當年是多年來都採用 Thunderbolt 端口的 MacBook 筆電了。