一周大事回顧 07/30~08/05

新型態PoS惡意程式再次侵襲美國零售業

美國國土安全部旗下的電腦緊急事件回應小組（CERT）近日發布報告指出，一款名為Backoff的惡意程式，透過侵入新式收銀終端機上的遠端桌面應用，例如，Microsoft Remote Desktop 、Apple Remote Desktop、Google的Chrome Remote Desktop等產品，並植入名為Backoff的惡意程式，以此竊取消費者的信用卡等資訊。此外這類惡意程式會蒐集記憶體的支付資料、側錄鍵盤動作、執行指令與控制通訊（command & control , C2）將資料上傳到主機伺服器，以及更新、執行或反安裝惡意程式，並以注射惡意程式碼到explorer.exe中，造成檔案總管當掉或停止時間拉長。外傳目前可能有600家大小零售業者受害，其中可能不乏去年遭駭公司。

賽門鐵克企業防毒軟體驚爆零時差漏洞

專門提供安全課程與教育訓練的Offensive Security近日揭露，賽門鐵克的防毒軟體Endpoint Protection含有許多安全漏洞，並指出其中一項權限擴大漏洞，可能讓駭客藉此取得系統最高權限，可用以執行任何功能。受影響的產品包括了執行應用與裝置控制元件的Endpoint Protection clients 11.x 及12.x ，可能造成用戶端當機、服務阻斷，或者取得系統的控制權。賽門鐵克表示，該漏洞為中等程度已緊急處理並建議用戶可先解除安裝或者是卸載sysplant驅動程式，目前尚未有相關攻擊事件發生。

AMD推出首款64位元ARM伺服器處理器的開發套件

AMD宣布釋出AMD Opteron A1100 Series開發人員套件，內含代號為「西雅圖」（Seattle）的64位元ARM處理器，「西雅圖」是AMD所推出的第一款64位元處理器。而Opteron A1100 Series開發人員套件包含一個4核心的A1100 Series處理器，配備兩個16GB DDR3記憶體的RDIMM，8個PCI-Express，可相容於標準電源。另外也採用紅帽Fedora技術的Linux環境、平臺裝置的驅動程式，以及Apache網路伺服器、MySQL資料庫引擎、PHP語言與Java 7／8，至於完整套件售價為2,999美元，現已開放軟／硬體開發人員申請。未來鎖定以低功耗ARM處理器打入雲端伺服器市場。

紅帽結盟硬體業者，共同開發64位元ARM架構開源軟體

為協助產業開發設計，紅帽（Red Hat）近日宣布共組「ARM合作夥伴早期存取計畫」（ARM Partner Early Access Program），包含紅帽軟體在內的64位元ARM架構，將加入以ARM伺服器及Linux基礎軟體開發為目標的Linaro Enterprise Group（LEG），並在協作與透明的環境下推動基於ARM架構開放源碼軟體的發展。目前已有多家晶片業者、獨立硬體開發商、OEM及ODM廠商加入，包括AMD、ARM、Broadcom、Dell、HP、American Megatrends、AppliedMicro、Cavium及Linaro都是參與開發廠商。

Google宣布推出強化版Hangouts企業級功能

Google宣布為視訊軟體Hangouts加入企業最重視的服務層級協定（SLA），並捨棄需搭配Google+帳號的規定，Hangouts現在和企業版Google Apps其他產品，像是Google Drives，皆採用相同服務條款，提供24x7電話支援、99.9%不停機時間保證，也取得企業安全及營運標準如ISO 27001、SSAE 16/ISAE 4302及SOC 2等認證。Google也為Hangouts 提供IT管理介面，讓公司IT可以遠端啟動、關閉會議或是轉到靜音模式，並可整合其他企業通訊產品，如Blue Jeans及InterCall使用。此外Hangouts將在今年底前與電子郵件歸檔和儲存服務Google Apps Vault進一步整合，提供企業用戶更方便利用。

Android驚爆有假身份漏洞，惡意程式也能假冒合法程式攻擊

安全公司Bluebox Security發現，2010年Android 2.1以後的版本存在名為「假身份」（Fake ID）的漏洞，可能讓惡意程式繞過Android的安全機制，假冒為合法的程式，只要安裝一個仿冒應用程式，就可能遭受到駭客惡意入侵，像是利用Adobe Flash webview外掛執行權限植入木馬程式，取得用戶財務資料，或是取得Android裝置控制權限等。目前，Google除了已發布修補程式修補AOSP，並強化Google Play及Google的掃瞄軟體Verify Apps，但尚未有證據顯示有針對該漏洞的攻擊行為。

微軟為多款蘋果裝置釋出新版OneNote筆記軟體

 微軟宣布釋出iPad、iPhone及Mac電腦專用的OneNote 2.3版，加入OneDrive支援、附件功能，以及更容易組織筆記等。此次升級版是以5月釋出的Mac版OneNote為基礎，包含了客戶需求的數項功能。像是讓商業版OneDrive或Office 365用戶可從Mac電腦存取商業版OneDrive及SharePoint Online服務上的筆記檔案，並可建立、開啟、同步儲存在商業版OneDrive筆記。此外，新版OneNote也加入了Windows版「密碼保護區」功能，讓用戶可輸入密碼讀取受到保護的內容。一旦看完，也可以再手動上鎖，否則數分鐘後，系統也會自動上鎖。

BitTorrent釋出Bleep匿名聊天平臺，一組金鑰就能安全通訊

專精於P2P分散式技術的BitTorrent釋出了Bleep的早期封測版（Pre-Alpha），這是一個可匿名的文字暨語音聊天程式，Bleep為使用者的身份加上一組加密金鑰，雙方只要交換彼此的公開金鑰就能進行通訊，而通訊內容則由公開金鑰與私有金鑰負責保護，每次展開通訊時，Bleep就會產生一組臨時的私有金鑰，通訊結束後該私有金鑰就會被永久刪除。目前的Bleep使用者必須提交電子郵件以申請參與測試，惟該版本尚不支援離線傳訊，現階段僅相容於Windows 7／8桌面作業系統，之後也會支援其他平臺。