一周大事

聯想ThinkPad筆電BIOS爆重大零時攻擊漏洞

繼去年的Superfish後，一名獨立安全研究人員發現，聯想ThinkPad筆電系列的韌體再出現未修補的漏洞，可使駭客取得管理權限而執行任意程式碼。此外，傳出其他品牌電腦也在受害之列。

自稱為Dmytro Oleksiuk的網友指出，名為ThinkPwn的零時權限升級漏洞存在聯想筆電韌體的SystemSmmRuntimeRt UEFI 驅動程式中。它可讓駭客經由在聯想產品的System Management Mode (SMM)中執行任意程式碼，關閉快閃記憶體的寫入防護而感染平台韌體、關閉Secure Boot、繞過Windows 10 Enterpirse的Virtual Secure Mode而遂行惡意目的行為。（詳全文）

【DevOps Summit焦點】百度貼吧DevOps經驗大公開

蔚為中國最大社群論壇的百度貼吧（簡稱貼吧），每天訪問次數30億人次，累積13年的貼文數量更達930億則，同時，因應行動裝置的發展，百度開始經營影像直播、電影及遊戲等服務，每天交付至正式環境的程式碼變更高達100次，對於工程團隊也是相當龐大的壓力。（詳全文）

MongoDB推出資料庫即服務Atlas與原生Spark連接器

（圖片來源／MongoDB）

NoSQL資料庫MongoDB推出資料庫即服務（DBaaS）MongoDB Atlas，提供使用者資料庫託管服務，首先支援AWS，計畫將陸續支援微軟Azure和Google雲端平臺。同時，MongoDB也釋出原生Spark連接器，整合MongoDB和Spark大數據分析能力。（詳全文）

Google釋出Android情境感知API，提醒開發者不要太擾人

Google上個月在其I/O開發者大會上揭露的Android情境感知API (Awareness API)，如今終於正式上線，不過Google特別提醒開發者，不要太頻繁通知用戶以免構成打擾，也要考量過多通知可能帶來的耗電問題。

Google的Awareness API是可讓開發者利用一組來自Android裝置蒐集的情境訊號，並據以提供相對應App使用體驗的新工具，開發者可以就時間、位置、地點類型、使用者行為、附近的Beacon、耳機與天氣等資訊，來讓開發者為其App增加情境感知互動功能。

Google此次釋出的Awareness API有兩種形式，分別為直接要求使用者當前情境狀態，如目前位置與其天氣狀況的Snapshot API，以及針對使用者所處情境有所改變，或其改變成為特定預設狀態時進行反應的Fence API。後者運作方式與Google目前的Geofencing API相似，即使App在使用者達到特定預設情境狀態時並未執行，系統還是會對App發出通知。（詳全文）

思科以2.9億美元買下CloudLock，讓企業安全政策上雲

（圖片來源／CloudLock）

CloudLock提供基於API架構的雲端安全解決方案，藉由API整合平台以追蹤資料的分享及潛在的安全威脅，協助企業將內部的安全政策擴大套用到雲端應用服務上。（詳全文）

微軟、紅帽與Codenvy攜手發展語言伺服器協定

（圖片來源／GitHub）

該語言伺服器協定為開放源碼專案，目的是讓開發人員在自己喜愛的編輯器中使用任何語言。目前該協定已支援JSON、C++ 及Powershell等語言，今年還會納入C#、xText、 R by Typefox、JavaFX by Ensime及CSS by Microsoft等。（詳全文）

AWS資料中心前進孟買，成印度首個AWS可用區域

亞馬遜（Amazon）在1月時才在韓國首爾啟用AWS機房，又於本周一（6/27）宣布在印度孟買設立AWS資料中心，而孟買成為AWS印度地區第一個可用區域（Availability Zone），也是亞太區第6個AWS可用區域，提供EC2、EBS、虛擬私有雲、自動擴充、ELB等服務。

不過，AWS印度地區尚未支援一些較新的服務，如ECS（EC2 Container Service）、AWS Lambda等。此外，Amazon也在印度的3個城市設立AWS節點，包含了孟買、清奈和新德里，這3個印度AWS節點支援Route 53、CloudFront和S3 Transfer Acceleration服務。（詳全文）

賽門鐵克防毒軟體爆漏洞，25項旗下產品可能受駭

Google Project Zero安全研究人員發現賽門鐵克（Symantec）旗下安全產品存在多項高風險漏洞，可能導致駭客取得用戶PC控制權限，從企業到消費者產品皆受影響。賽門鐵克已發佈安全公告與修補程式。

Google Project安全研究人員Tavis Ormandy指出，新發現的漏洞包括多個可植入後門程式的遠端程式碼執行漏洞。這些漏洞十分危險，不需要任何使用者互動就能產生危害，影響產品的預設組態，而且惡意軟體可以以最高權限執行。在某些Windows環境下，具有漏洞的程式碼甚至被載入核心，進而導致遠端核心記憶體毁損攻擊。

由於賽門鐵克所有產品線採用相同的核心引擎，因此這些漏洞將影響該公司旗下涵括17項企業產品品牌Symantec及8項消費品牌諾頓（Norton）防毒軟體，包括所有平台版本的Norton 360、Endpoint Protection、Email Security及Protection Engine，以及Symantec Protection for SharePoint Servers等。（詳全文）

中國行動程式管理規定8月上路，整頓App生態

中國互聯網信息辦公室（網信辦）在周二（6/28）發布了《移動互聯網應用程序信息服務管理規定》，主要用來規範中國的行動程式開發人員及市集，包括要求開發人員必須針對註冊用戶進行身份認證，記錄使用者的活動，且至少保存60天，另也要求程式市集核實程式開發人員的身份。此一規定將於今年8月1日生效。

中國擁有超過9億的行動用戶，是全球最大的行動市場，且因Google Play並未進駐中國市場，更讓中國的第三方行動程式市集蓬勃發展，估計當地已有超過200個行動程式市集，前三名依序是奇虎的手機助手（360 Mobile Assistant）、騰訊應用寶（Myapp）及百度應用（Baidu Mobile Assistant）。（詳全文）

Azure Stack明年第一季正式上市

（圖片來源／Azure Stack）

Azure Stack預計於明年第一季正式上市，而底層為Windows Server 2016，微軟同時宣布，Windows Server 2016預計於今年10月正式推出。另外，微軟預計下周推出第2個技術預覽版，在Azure Stack技術預覽版第2版之中，微軟會增加快速部署、更新與調整虛擬機器的功能。（詳全文）

研究：Android裝置加密不牢靠，恐曝資安風險

採用Qualcomm處理器的Android裝置因含有兩個安全漏洞，使得駭客可取得全磁碟加密FDE的裝置加密金鑰DEK，只要再破解使用者設定的PIN碼、密碼或操作手勢密碼，就可能竊取裝置上加密的資訊。儘管Google已修補兩個漏洞，但因為該漏洞涉及硬體層設計，研究人員認為可能需變更硬體設計才能完全修補漏洞。（詳全文）

Android N名稱定案：Nougat牛軋糖

（圖片來源／Google）

Google開放外界為Android N命名投稿，最終拍板定案代號為Nougat牛軋糖，正式名稱為Android 7.0，目前Nougat推出第2個beta版，正式版預計在今年夏天推出。（詳全文）