新聞中心
21
Microsoft Excel 存在已久的嚴重漏洞 美國 CISA︰正被不法分子廣泛利用中
文章索引: IT快訊 IT要聞
【小心 ... ⚠️】美國網絡安全和基礎設施安全局(CISA)14 日發出緊急警報,一個存在於 Microsoft Excel 中長達 17 年之久的陳年漏洞,目前正遭到黑客頻繁利用,威脅全球用戶的資訊安全。未有安裝漏洞修補程式的用戶,已成為黑客的攻擊目標。

據 CISA 指出,該漏洞識別碼為 CVE-2009-0238,嚴重性得分高達 9.3 分,最早可追溯至 2009 年 2 月。黑客會使用釣魚電郵寄出經過特殊設計的 Excel 檔案,一旦受害者開啟,攻擊者便能遠端執行惡意程式碼。在已知的攻擊案例中,黑客利用此方式在受害者電腦中植入「木馬下載器」(Trojan dropper),進而安裝更多後門程式並徹底控制目標裝置。

受影響的 Microsoft Excel 版本包括︰Microsoft Office 2000 SP3、Microsoft Office XP SP3、Microsoft Office 2003 SP3、Microsoft Office 2007 SP 的 Excel、Excel Viewer 2003、Microsoft Office Compatibility Pack 2007 SP1,另外 Mac 平台的 Microsoft Office 2004 for Mac 及 Microsoft Office 2008 for Mac 也會「中招」。
AI 對話或成為呈堂證供 美國律師警告勿依賴 AI 提供法律建議
文章索引: Biztech IT要聞
美國法律界近日發出警告,提醒公眾切勿在醫療、法律或財務等高風險領域依賴 AI 提供建議。原因是用戶與 AI 的對話紀錄,有可能在法庭上被檢控方或訴訟對手要求公開,並不享有「律師—客戶保密特權」。

今年初,紐約一名聯邦法官裁定,不能阻止檢察官在證券詐騙案件中,引用一間破產金融服務公司前行政總裁的 AI 對話紀錄。此舉令多間美國大型律師事務所相繼提醒客戶,與 ChatGPT 或 Claude 的交流可能成為法庭證據。

紐約 Kobre & Kim 律師事務所律師 Alexandria Gutiérrez Swette 表示:「我們告訴客戶必須謹慎,AI 工具並非律師。」
Anthropic 與美政府洽談新 AI 模型 合同爭議未解決持續交流
文章索引: Anthropic Biztech IT要聞
Anthropic 聯合創辦人 Jack Clark 近日透露,雖然公司與五角大廈因合同爭議而被列為供應鏈風險,但 Anthropic 仍正與特朗普政府就旗下前沿 AI 模型 Mythos 展開討論。

據悉,五角大廈(Pentagon)上月因對軍方如何使用 AI 工具的安全防護措施存有分歧(拒讓國防部將 AI 用於大規模監控或自主武器),暫停與 Anthropic 的合作,並禁止其產品在軍方及承包商中使用。

Clark 在華盛頓舉行的 Semafor 世界經濟論壇上強調:「我們有合同上的爭議,但不希望影響我們對國家安全的重視。」
中國金山毒霸、360 安全衛士 存在高危險漏洞  或致系統被完全控制
文章索引: IT快訊 IT要聞
【安全軟件不安全 ... 😱】 中國媒體報道,安全專家 Impulsive 警告兩款來自中國的防毒軟件「金山毒霸」與「360 安全衛士」存在嚴重的高危漏洞,這些漏洞可能被黑客利用,或導致系統被黑客完全控制。其中一款更使用嵌入在二進制檔案中的靜態 AES 密鑰讀寫內核記憶體,這些做法竟然出現在所謂的「安全」產品上,實在令人嘆為觀止。

據中國《快科技》報道,安全專家 Impulsive 指控這兩款中國防毒軟件的驅動程式漠視安全,結果導致黑客可以利用這些驅動程式,從普通用戶權限提權至 SYSTEM 最高權限,繞過 KASLR(內核位址空間佈局隨機化)保護,竊取內核憑證,甚至修改內核回呼表以隱藏惡意行為。

由於這些驅動程式已具備 EV 或 WHQL 官方簽名,攻擊者無需在目標裝置上安裝額外軟件,即可直接載入惡意 payload,攻擊門檻極低。
21