全球繪圖晶片大廠 NVIDIA 日前針對旗下 NVIDIA GeForce Experience （GFE）的 Windows 版本應用軟體，發表資安修補更新，一共修補三個資安漏洞。

Google 最近推出最新版本的 Google Chrome 86.0.4240.111，修補多個資安漏洞，其中包括一個已被廣泛用於駭侵攻擊的記憶體崩潰錯誤。

Adobe 日前發表資安修補包，修復旗下電子商務平台 Magento 的兩個嚴重資安漏洞；這兩個資安漏洞可導致駭侵者任意讀寫資料庫，甚至遠端執行任意程式碼。

CVE-2020-24400 漏洞的類型為 SQL 注入漏洞，利用這個漏洞，駭侵者將可在沒有得到授權的情形下，任意讀取並寫入資料庫，造成資料外洩甚至被竄改。

Google 與 Intel 日前共同針對 Linux 的藍牙嚴重資安漏洞發布資安通報，力促用戶升級 Linux 核心，以免遭駭。

美國網路作戰司令部（US Cyber Command）日前發表推文，指出必須立即修補嚴重的 Windows TCP/IP 堆疊漏洞「惡鄰居」（Bad Neighbor），以免 Windows 電腦遭到 DoS 攻擊而出現「藍色死亡畫面」（BSOD），造成電腦當機無法使用。

資安廠商 Intezer 日前發布資安研究報告，指出該公司的研究人員發現 Microsoft Azure 雲端服務存有兩個漏洞，可導致駭侵者遠端執行任意程式碼，並接管用戶的伺服器。

資安廠商發現廣泛用於 Apple Mac 系列電腦的 T2 安全晶片，內含一個不可修復的資安漏洞，將可能導致駭侵者取得 root 權限。

有鑑於先前提供的 CVE-2020-1472 Zerologon 漏洞更新情報的混淆，微軟日前再次發布關於此漏洞的修補方法，以更清楚地方式說明如何修補此嚴重漏洞。

Facebook 近日針對於四月初發現的 Instagram 嚴重資安漏洞發表修補新版；這個漏洞可導致用戶的手機遭駭侵者遠端執行任意程式碼，並且挾持手機中的相機、麥克風等裝置。

微軟最近開始觀測到利用 Zerologon 漏洞的攻擊行動，且有逐漸增加的趨勢；由於這個漏洞可能引來嚴重駭侵攻擊，美國政府已要求各單位應在三天內修補此漏洞。

• 資安事件摘要

近來廣為各種電腦系統採用的高速傳輸界面 Thunderbolt，遭資安研究人員發現多個漏洞，最終可讓駭侵者直接存取電腦的 PCIe 高速匯流排，並發動各種攻擊。

廣為全球數十億台裝置使用的藍牙通訊協定，再遭發現嚴重資安漏洞，而且難以全面修補。

PAN-OS為運行於Palo Alto Networks新世代防火牆之作業系統，研究人員發現PAN-OS之Captive Portal或多因素驗證(Multi-Factor Authentication, MFA)介面存在緩衝區溢位漏洞(CVE-2020-2040)，未經身分驗證的攻擊者可藉由發送惡意請求，利用此漏洞進而以root權限執行任意程式碼。

藍牙 4.0 與 5.0 被發現嚴重漏洞，可遭駭侵者竄改認證金鑰，並發動中間人駭侵攻擊。

資安廠商 Wordfence 於日前發表研究報告，指出一個使用相當廣泛的 WordPress 擴充套件「File Manager」，含有一個嚴重的 0-day 資安漏洞；駭侵者可透過此漏洞遠端執行任意程式碼。

目前全球使用率最高的網頁瀏覽器 Google Chrome，遭 Cisco Talos 的資安研究人員於五月時發現一個嚴重的資安漏洞，可能導致駭侵者用以進行遠端任行程式碼執行攻擊。

微軟發布例行性的 Patch Tuesday 每月資安修補包，修復了 120 個大小漏洞後，8/20又緊急推出修復兩個嚴重資安漏洞的更新，分別修復 CVE-2020-1530 和 CVE-2020-1537 漏洞。

資安廠商 PerimeterX 的研究人員，近日發表研究報告，指出市面上以 Chromium 為基礎的各種瀏覽器，存有一個可讓駭侵者跳過網站內容安全原則（Content Security Policies，CSP）的嚴重 0-day 資安漏洞。

國內網通設備廠商最近更新其路由器產品 RT-AC1900P 的兩個資安漏洞；這兩個資安漏洞編號分別是 CVE-2020-15498、CVE-2020-15499。

Microsoft .NET Framework, SharePoint Server和Visual Studio存在遠端執行任意程式碼（RCE）資安漏洞(CVE-2020-1147)。此為當軟體於反序列化XML過程時，無法檢查所輸入XML檔案的來源標記之漏洞。攻擊者可上傳一特製文件至利用上述軟體來處理內容的伺服器上，既可觸發該漏洞進行任意程式碼執行。