新聞中心
【小心 ... ⚠️】美國網絡安全和基礎設施安全局(CISA)14 日發出緊急警報,一個存在於 Microsoft Excel 中長達 17 年之久的陳年漏洞,目前正遭到黑客頻繁利用,威脅全球用戶的資訊安全。未有安裝漏洞修補程式的用戶,已成為黑客的攻擊目標。據 CISA 指出,該漏洞識別碼為 CVE-2009-0238,嚴重性得分高達 9.3 分,最早可追溯至 2009 年 2 月。黑客會使用釣魚電郵寄出經過特殊設計的 Excel 檔案,一旦受害者開啟,攻擊者便能遠端執行惡意程式碼。在已知的攻擊案例中,黑客利用此方式在受害者電腦中植入「木馬下載器」(Trojan dropper),進而安裝更多後門程式並徹底控制目標裝置。
受影響的 Microsoft Excel 版本包括︰Microsoft Office 2000 SP3、Microsoft Office XP SP3、Microsoft Office 2003 SP3、Microsoft Office 2007 SP 的 Excel、Excel Viewer 2003、Microsoft Office Compatibility Pack 2007 SP1,另外 Mac 平台的 Microsoft Office 2004 for Mac 及 Microsoft Office 2008 for Mac 也會「中招」。
2026-04-16
2026-04-14
【安全軟件不安全 ... 😱】 中國媒體報道,安全專家 Impulsive 警告兩款來自中國的防毒軟件「金山毒霸」與「360 安全衛士」存在嚴重的高危漏洞,這些漏洞可能被黑客利用,或導致系統被黑客完全控制。其中一款更使用嵌入在二進制檔案中的靜態 AES 密鑰讀寫內核記憶體,這些做法竟然出現在所謂的「安全」產品上,實在令人嘆為觀止。據中國《快科技》報道,安全專家 Impulsive 指控這兩款中國防毒軟件的驅動程式漠視安全,結果導致黑客可以利用這些驅動程式,從普通用戶權限提權至 SYSTEM 最高權限,繞過 KASLR(內核位址空間佈局隨機化)保護,竊取內核憑證,甚至修改內核回呼表以隱藏惡意行為。
由於這些驅動程式已具備 EV 或 WHQL 官方簽名,攻擊者無需在目標裝置上安裝額外軟件,即可直接載入惡意 payload,攻擊門檻極低。