AppArmor 中的「CrackArmor」漏洞影響 1,260 萬個 Linux 系統

資料來源：https://hackread.com/crackarmor-vulnerability-apparmor-linux-systems/, 2026/3/13

AppArmor是一款旨在保護全球Linux裝置的工具，近日被發現有重大安全漏洞。網路安全公司Qualys揭露了AppArmor的九個漏洞，AppArmor是Ubuntu、Debian和SUSE等主流平台的預設安全防護系統。據研究人員稱，這些漏洞自2017年v4.11版本起就已存在，目前已使超過1,260萬個企業系統面臨風險。

為了理解這個問題，不妨考慮研究人員所謂的「受騙代理人」漏洞。攻擊者可以透過欺騙 Sudo 或 Postfix 等可信任工具，寫入資料到系統中的隱藏偽文件。這使他們能夠繞過安全邊界，獲得 root 權限，從而實現對電腦的最高控制等級。

由Qualys TRU的Saeed Abbasi領導的研究表明，駭客甚至可以突破容器的限制。容器本應是運行應用程式的隔離環境。這些故障可能悄無聲息地發生，系統可能在管理員毫無察覺的情況下失去保護。

這項發現揭示了銀行業、醫療保健業和電信業面臨的一個重大問題。攻擊者可以發動拒絕服務 ( DoS ) 攻擊，耗盡電腦記憶體導致其崩潰。他們還可以加載“拒絕所有”設置，阻止員工存取或移除後台服務的保護措施。

目前這些漏洞尚無官方的漏洞編號（CVE），但專家警告不要等待。 Qualys 與 Ubuntu、Debian、SUSE 和 Sudo 的團隊合作數月，確保在公開發布修復程序之前一切就緒。為了確保安全，研究人員建議管理員立即應用軟體提供者提供的最新核心修補程式。

Veeam 修復了 7 個可能導致遠端程式碼執行的關鍵備份和複製漏洞

資料來源：https://thehackernews.com/2026/03/veeam-patches-7-critical-backup.html, 2026/3/13

Veeam 發布了安全性更新，以解決其備份和複製軟體中的多個嚴重漏洞，這些漏洞如果被成功利用，可能會導致遠端執行程式碼。漏洞如下：

✔  CVE-2026-21666（CVSS 評分：9.9）- 允許經過驗證的網域使用者在備份伺服器上執行遠端程式碼的漏洞。

✔  CVE-2026-21667（CVSS 評分：9.9）- 允許經過驗證的網域使用者在備份伺服器上執行遠端程式碼的漏洞。

✔  CVE-2026-21668（CVSS 評分：8.8）- 一個漏洞，允許經過驗證的網域使用者繞過限制並操縱備份儲存庫上的任意檔案。

✔  CVE-2026-21672（CVSS 評分：8.8）- 允許在基於 Windows 的 Veeam Backup & Replication 伺服器上進行本地權限提升的漏洞。

✔  CVE-2026-21708（CVSS 評分：9.9）- 一個允許備份檢視器以 postgres 使用者身分執行遠端程式碼的漏洞。

Veeam Backup & Replication 12.3.2.4165 及所有早期 12 版本中存在的缺陷已在12.3.2.4465 版本中解決。此外， Backup & Replication 13.0.1.2067版本也修正了 CVE-2026-21672 和 CVE-2026-21708 漏洞，以及另外兩個嚴重安全漏洞。

✔  CVE-2026-21669（CVSS 評分：9.9）- 允許經過驗證的網域使用者在備份伺服器上執行遠端程式碼的漏洞。

✔  CVE-2026-21671（CVSS 評分：9.1）- 允許具有備份管理員角色的已驗證使用者在 Veeam Backup & Replication 的高可用性 (HA) 部署中執行遠端程式碼的漏洞。

該公司在其公告中表示：「值得注意的是，一旦漏洞及其相關補丁被披露，攻擊者很可能會嘗試對補丁進行逆向工程，以利用未打補丁的 Veeam 軟體部署。」鑑於 Veeam 軟體的漏洞曾多次 被威脅行為者利用來實施勒索軟體攻擊，用戶必須將他們的實例更新到最新版本，以防範任何潛在威脅。

谷歌修復了兩個在網路上被利用的Chrome零日漏洞

資料來源：https://thehackernews.com/2026/03/google-fixes-two-chrome-zero-days.html, 2026/3/13

谷歌週四發布了 Chrome 瀏覽器的安全更新，以解決兩個已實際利用的高風險漏洞。漏洞列表如下：

✔  CVE-2026-3909（CVSS 評分：8.8）- Skia 2D 圖形庫中存在越界寫入漏洞，允許遠端攻擊者透過精心建構的 HTML 頁面執行越界記憶體存取。

✔  CVE-2026-3910（CVSS 評分：8.8）- V8 JavaScript 和 WebAssembly 引擎中存在不適當的實作漏洞，允許遠端攻擊者透過精心建構的 HTML 頁面在沙箱內執行任意程式碼。

這兩個漏洞均由谷歌於2026年3月10日自行發現並報告。與此類情況的慣例一樣，目前尚無關於這些漏洞在實際環境中如何被利用以及幕後黑手的詳細資訊。這樣做是為了防止其他威脅行為者利用這些漏洞。該公司指出：「Google已經意識到 CVE-2026-3909 和 CVE-2026-3910 的漏洞利用程序已經存在於網路上。」

就在不到一個月前，Google剛剛修復了Chrome CSS元件中一個高風險的「釋放後使用」漏洞（CVE-2026-2441，CVSS評分：8.8），該漏洞先前已被用作零日漏洞。自今年年初以來，谷歌已修復了三個已被惡意利用的Chrome零日漏洞。

為了獲得最佳保護，建議使用者將 Chrome 瀏覽器更新至 Windows 和 macOS 版本 146.0.7680.75/76，Linux 版本 146.0.7680.75。若要確保已安裝最新更新，用戶可以依序點擊“更多”à“說明”à“關於 Google Chrome”，然後選擇“重新啟動”。

使用其他基於 Chromium 核心的瀏覽器（例如 Microsoft Edge、Brave、Opera 和 Vivaldi）的使用者也建議在修復程式可用時立即套用這些修復程式。