本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 趨勢科技協助逮捕 Egregor 勒索病毒犯罪集團
- 《資安漫畫》公司新人上完必上的資安講習課後…
- 資安基礎觀念:採用 RASP (執行時期應用程式自我防護) 來保護無伺服器與容器應用程式
- 四個手機也需要防毒軟體的原因
- 什麼是工業控制系統(Industrial Control System,ICS) ?
- IoT/雲端匯流的資安指南
- 別讓駭客跟你宅疫起的五件事
資安新聞精選
VLSI國際研討會盛大登場 「2021 ERSO Award」三位得獎人揭曉 yam蕃薯藤
美國第二大汽車保險業者Geico官網含漏洞,允許駭客竊取客戶駕照號碼 iThome
趨勢科技Vision One在MITRE ATT&CK評測中偵測到96%攻擊步驟 資安人
Fujitsu與趨勢科技共同展示企業5G網路防護解決方案 電子時報
科技大廠頻傳遭駭 資安風險成企業新挑戰 經濟日報網
專訪/趨勢科技陳怡樺:躋身電動車大國,台灣要搞懂這三件事! 遠見雜誌網
詐騙老梗又騙倒高官 NCC副主委損失358萬 LineToday
騙很大!他花2000元網購「鋼鐵人頭盔」 開箱怒爆粗口:被薩諾斯打凹的限定版 民視新聞網
多張 MacBook 設計圖被外流!蘋果遭勒索軟體 REvil 盯上 自由時報電子報
廣達遭駭客攻擊勒索 調查局追查那些客戶機密被竊 台灣蘋果日報網
涉竊兒童個資 TikTok恐賠天價 工商時報電子報
國際超大型積體電路技術研討會登場 聚焦AI運算 中央通訊社
Zoom Clubhouse等中國軟體 陷資料送中風險 台灣蘋果日報網
中國駭客攻擊頻傳,日本稱 200 家企業遭鎖定 科技新報網
多達10萬個網站被安裝木馬程式(RAT),駭客甚至利用PDF檔案滲透 iThome
網購設備想投資「挖礦」遭坑殺 77萬血本無歸 自由時報電子報
只刪App沒用!未解除訂閱APP照樣扣款 冤枉錢竟逼近4億美金 tvbs新聞網
BBC揭台灣「綠色乖乖」神奇用法 網友:國家機密被發現了! 台灣蘋果日報網
企業網站聯繫表單遭到濫用!攻擊者以圖片盜用名義誘騙管理者下載惡意程式IcedID iThome
「Wreck」漏洞來襲! 預估破億台 IoT 裝置有安全風險 科技新報網
遭駭 Exchange 伺服器成QuickCPU惡意挖礦程式跳板 資安人
臉書新功能允許用戶將貼文內容匯入Google、Wordpress iThome
Clubhouse退燒?臉書、微軟宣布新服務,搶當語音巨獸! 遠見雜誌網
臉書補了可讓駭客刪除直播影片的漏洞 iThome
PC-cillin 2021 雲端版|多裝置保護網頁瀏覽、隱私與資料安全 比價王
駭客利用Telegram頻道散布惡意軟體HackBoss,來洗劫受害人加密貨幣錢包 iThome
Codecov被駭,殃及數百家企業客戶及IBM等科技公司 iThome
中國駭客利用VPN裝置漏洞鎖定美國國防產業展開攻擊 iThome
微軟Edge、Firefox也暫不加入Google FLoC iThome
中華電攻企業專網 組行動PC聯盟 中央通訊社
VLSI研討會登場!聚焦AI晶片.記憶體發展 非凡新聞網
反制中共威脅 國安局將成立大數據資料庫 中央通訊社
智慧工廠資安問題複雜 IIoT、邊緣運算皆為關鍵因子 電子時報
Microsoft Edge 推出兒童模式,讓孩子擁有更安全的上網環境 電腦王阿達
台大醫院獲微軟贊助,助 COVID-19 患者基因分析研究 科技新報網
Google Project Zero更新漏洞揭露政策,提供30天的修補緩衝期 iThome
Chrome 90問世:以HTTPS作為預設,嵌入隱私沙箱控制 iThome
歐洲商會:台徵才市場反彈 科技業加薪上看15% 自由時報電子報
漏洞揭露 視訊會議軟體 Pwn2Own Pwn2Own 2021揭露Zoom重大RCE漏洞 iThome電腦報周刊
Kubernetes GO函式庫漏洞可引發DoS攻擊 iThome
北韓駭客Lazarus鎖定電子商城發動網站側錄攻擊,目標是竊取加密貨幣 iThome
個人資料自主運用 國發會MyData平台正式上線 中央通訊社
臉書監察委員會開放臉書與IG用戶上訴未被刪除的內容 iThome
Chromium第二項漏洞又有概念驗證攻擊程式公布 iThome
針對美國報稅季的網釣攻擊擴大,利用Typeform假冒退稅文件,欺騙受害者登入,藉此收集受害者資料。 iThome
卡普空:老舊備援VPN引發去年勒索軟體及資料外洩事件 iThome
愛爾蘭正式對臉書5.3億資料外洩啟動GDPR調查 iThome
2016年是誰幫FBI破解iPhone?是澳洲的Azimuth Security iThome
VLSI國際研討會盛大登場 「2021 ERSO Award」三位得獎人揭曉 yam蕃薯藤
在經濟部技術處支持下,工研院今(4/20)日主辦半導體盛事「2021國際超大型積體電路技術研討會」(VLSI),大會今年聚焦在最熱門的AI 晶片運算、新興記憶體技術、小晶片系統、量子電腦、半導體材料、生物電子醫學等相關技術發展與未來趨勢。
美國第二大汽車保險業者Geico官網含漏洞,允許駭客竊取客戶駕照號碼 iThome
Geico官網線上銷售系統漏洞遭駭客開採,可能讓這家美國第二大汽車保險業者的客戶淪為釣魚郵件攻擊對象,或被冒名詐領失業救濟金。
趨勢科技Vision One在MITRE ATT&CK評測中偵測到96%攻擊步驟 資安人
趨勢科技 在資安研究機構 MITRE Engenuity 最新的 ATT&CK Evaluations 測試當中取得優異成績。在這項模擬兩大持續性滲透攻擊 (APT) 駭客集團手法的測試當中,趨勢科技 Trend Micro Vision One平台快速偵測到 96% 的攻擊步驟。
Fujitsu與趨勢科技共同展示企業5G網路防護解決方案 電子時報
Fujitsu Limited與全球網路資安領導廠商趨勢科技宣布於企業5G專網資安展開合作。在正式產品上市之前,雙方將合作透過一個智慧工廠模擬環境與Fujitsu的一個實際生產環境來示範趨勢科技的企業5G網路防護成效。
科技大廠頻傳遭駭 資安風險成企業新挑戰 經濟日報網
宏碁(2353)、日月光、廣達等大廠短短二個月內接連傳出遭駭,被勒索高額贖金。從去年開始國內外有許多知名企業傳出嚴重資安事件,擁有重要數據的企業更容易成為被駭目標,資安議題已成為數位轉型下企業必須面對的難題。
專訪/趨勢科技陳怡樺:躋身電動車大國,台灣要搞懂這三件事! 遠見雜誌網
「都說電動車就像裝上四顆輪子的電腦,你看,連這個動作都一樣,」陳怡樺強調,兩者的不同是,電腦當機黑屏不大會有人身安全問題,但移動的車輛當機,卻直接關係著駕駛與乘客的性命安全。
詐騙老梗又騙倒高官 NCC副主委損失358萬 LineToday
詐騙集團無孔不入,就連政府高階官員遭騙數百萬。國家通訊傳播委員會(NCC)副主委翁柏宗在前(2019)年6月接到詐騙電話,「假檢警」利用不斷轉接的老手法和說詞,上當面交358萬元。而同年7、8月間,前中華電信董事長呂學錦也因「手機欠費」老梗,慘遭騙走160萬元。
騙很大!他花2000元網購「鋼鐵人頭盔」 開箱怒爆粗口:被薩諾斯打凹的限定版 民視新聞網
現在網路購物非常盛行,除了方便之外,價格通常也優惠許多, 但網購詐騙案件卻隨著普及率增加,一不小心就變成受害者,網紅「儒哥」日前砸上2000元網購「鋼鐵人頭盔」,結果收到包裹後,竟然只是「鋼鐵人塑膠面具」,全網笑翻回應「這是被薩諾斯打凹的限定版」。
多張 MacBook 設計圖被外流!蘋果遭勒索軟體 REvil 盯上 自由時報電子報
外媒《Bleepingcomputer》報導,REvil 近期進攻台灣筆電代工廠廣達(Quanta),疑似竊取多項客戶設計資料。REvil 要求支付 1 億美元的贖金,卻遭到廣達拒絕。稍早廣達也證實遭到入侵,強調第一時間啟動防禦機制,並通報相關單位調查中,公司營運並未受到影響。
廣達遭駭客攻擊勒索 調查局追查那些客戶機密被竊 台灣蘋果日報網
國內筆電代工大廠廣達電腦公司,驚傳遭駭客集團REvil入侵內部網路,盜取並公布廣達為美國蘋果公司(Apple Inc.)代工的產品機密圖資,駭客集團還勒索廣達5000萬美元贖金,揚言不給錢就繼續公布資料。調查局資安工作站獲報已介入了解,與廣達密切連繫確認哪些代工客戶的產品資料遭竊。
涉竊兒童個資 TikTok恐賠天價 工商時報電子報
字節跳動及旗下短影音平台抖音海外版TikTok,被指控違法收集數百萬歐洲兒童的隱私數據,可能在英國倫敦高等法院遭判數十億英鎊的索賠。對此,TikTok代表回應,這些指控缺乏證據,打算積極辯護。
國際超大型積體電路技術研討會登場 聚焦AI運算 中央通訊社
國際超大型積體電路技術研討會今天在新竹國賓飯店登場,大會主要聚焦在熱門的人工智慧(AI)晶片運算、新興記憶體技術與小晶片系統等技術發展與趨勢。
Zoom Clubhouse等中國軟體 陷資料送中風險 台灣蘋果日報網
國際反中聲浪漸高,且包括中國品牌的智慧音箱、視訊軟體Zoom、語音社群軟體Clubhouse等更陸續傳出使用者資料被回傳中國的事件,這些科技產品迎合市場注重價格、規格的策略深獲青睞,消費者卻因此輕忽個資被竊取風險。
中國駭客攻擊頻傳,日本稱 200 家企業遭鎖定 科技新報網
2021 年駭客攻擊事件頻傳,俄羅斯與中國的駭客幾乎是所有大型攻擊事件的源頭,最近日本航空總署也遭駭客入侵,且表示多達 200 家企業被駭客鎖定,不過日本警方已經找到嫌犯,指名是一名有中國軍方背景支持的 30 多歲中國工程師。
多達10萬個網站被安裝木馬程式(RAT),駭客甚至利用PDF檔案滲透 iThome
在資訊爆炸的時代,人們仰賴網路搜尋,網路攻擊者也會利用網路搜尋的管道來進行攻擊。而在4月13日,資安廠商eSentire公告發現,有些在網路尋找商業文件的專業人士,若點擊到駭客建立於Google Sites的網頁,在不知情之下,很有可能會被導向其他惡意網頁,當他們從這裡下載檔案後,就會觸發惡意軟體安裝。
網購設備想投資「挖礦」遭坑殺 77萬血本無歸 自由時報電子報
台北市1名40歲葉姓男子,因對虛擬貨幣、區塊鏈技術有興趣,今年3月某日與朋友閒聊中,提到打算組裝電腦「挖礦」,朋友介紹他透過林姓友人網路下單買機器,沒想到下單購買的非官方網站,而是網址幾乎雷同的詐騙網站,葉男先後付出77萬元全血本無歸。
只刪App沒用!未解除訂閱APP照樣扣款 冤枉錢竟逼近4億美金 tvbs新聞網
現代人離不開手機,也會使用很多App程式,有一些是需要付費的,現在有一些惡意扣款程式,先說可以免費試用,但下載之後過了試用期,就會開始收費,只是刪除App沒有,若沒有解除掉訂閱模式,每個月都可以扣錢,根據統計,這樣的惡意扣款程式有204款,下載量突破10億,光是民眾付出去的冤枉錢,就高達四億美金。
BBC揭台灣「綠色乖乖」神奇用法 網友:國家機密被發現了! 台灣蘋果日報網
台灣有個神奇的都市傳說,只要在電腦或機房擺一包乖乖餅乾,就能讓機器設備「乖乖」聽話,避免運轉過程中出包,許多公司或是醫院的重要儀器上都有放乖乖,就連維基百科也有為「乖乖文化」解釋說明,沒想到這特殊的文化也讓英國廣播公司(BBC)注意到而大幅報導。
企業網站聯繫表單遭到濫用!攻擊者以圖片盜用名義誘騙管理者下載惡意程式IcedID iThome
釣魚郵件攻擊又有新的手法了!微軟發現一起透過企業網站表單發動的攻擊行動,攻擊者宣稱看到企業盜用自己的圖片,恐嚇要採取法律行動的名義,誘騙網站管理者點選Google協作平臺連結,在受害電腦植入木馬程式IcedID來竊取機密。
「Wreck」漏洞來襲! 預估破億台 IoT 裝置有安全風險 科技新報網
最新安全研究報告指出,當前發現了會造成數百萬台 IoT 物聯網裝置有安全疑慮的 9 個安全漏洞,網路犯罪者可透過這些漏洞讓裝置離線或被遠端控制,甚至可利用攻擊來獲得對受影響網路的更大存取權限。
遭駭 Exchange 伺服器成QuickCPU惡意挖礦程式跳板 資安人
在 3 月 2 日、9 日 Microsoft Exchange 漏洞被揭露以及緊急發布專屬安全修補程式之後,越來越多的攻擊者正在利用這些漏洞發起攻擊。Sophos 先前就披露過 DearCry 和 Black Kingdom 等勒索軟體造成的攻擊。
臉書新功能允許用戶將貼文內容匯入Google、Wordpress iThome
這功能屬於2018年臉書和其他大廠合推的跨平臺資料可攜計畫「Data Transfer Project」的一環,讓用戶可自由將資料搬到其他服務和平臺。包括Google、蘋果、微軟和推特都加入了這項計畫,也分別推出類似的資料輸出工具。
Clubhouse退燒?臉書、微軟宣布新服務,搶當語音巨獸! 遠見雜誌網
「誰有邀請碼?」席捲2月份社群圈的話題。主打邀請制的語音聊天室Clubhouse,成立短短一年的時間,每週活躍用戶已達千萬用戶。甚至只花了四個月,就讓市值翻了四倍,來到40億美元(約1150億台幣)。
臉書補了可讓駭客刪除直播影片的漏洞 iThome
當用戶結束直播後,他可設定起、迄兩個時戳來剪除這部份影片。原本只有使用者可以執行刪除,但研究人員發現一項瑕疵,讓有心人士可以將影片刪掉。這個漏洞發生在,當剪除影片到5毫秒以下時,會造成影片變成0秒,而原用戶無法回覆。
中國通訊社《新華社》旗下《經濟參考報》報導,由於App等管道濫用身份綁定、過度索取權限,導致民眾個資外洩風險提升,加上虛擬貨幣在疫情期間蔚為風潮,暗網及Telegram等社交平台成為個資販售的主要管道。
PC-cillin 2021 雲端版|多裝置保護網頁瀏覽、隱私與資料安全 比價王
從之前就是PC-cillin的使用者,因為疫情的關係,需要在家工作的機會變高了,長時間待在家中使用電腦,擔心一些重要資料遭到外洩,抑或是家中有長輩、小孩,一不小心誤觸了釣魚信件或網址,可能帳號密碼瞬間就被盜用了。猶記得月初時,一名安全研究人員發現有不明人士在駭客網站上兜售5.33億臉書的用戶個資,外洩資訊包含電話、ID、生日、住址等簡歷!連台灣都有超過73萬筆的用戶資料,非常恐怖…
駭客利用Telegram頻道散布惡意軟體HackBoss,來洗劫受害人加密貨幣錢包 iThome
隨著加密貨幣的流行,駭客也透過提供駭客工具與破解工具的名義,做為散布惡意軟體的幌子,並透過即時通訊軟體Telegram聊天室當作主要管道。防毒業者Avast公布惡意軟體家族HackBoss,駭客利用這種工具至少偷到相當於56萬美元的加密貨幣。
Codecov被駭,殃及數百家企業客戶及IBM等科技公司 iThome
美國軟體開發測試服務廠商Codecov今年初遭到駭客入侵,美國政府初步調查發現,數百家客戶可能已被竊走公司軟體開發專案資料,受害範圍也疑似擴及其他軟體和服務業者如IBM。
中國駭客利用VPN裝置漏洞鎖定美國國防產業展開攻擊 iThome
駭客利用Pulse Secure VPN裝置4項安全漏洞,對各國政府組織發動攻擊,其中3個漏洞Pulse Secure已於過去2年間釋出修補,另一個零時差漏洞CVE-2021-22893目前只有暫時緩解方案,修補程式預計5月出爐。
微軟Edge、Firefox也暫不加入Google FLoC iThome
微軟尚未公布是否會在Edge瀏覽器中,實作Google發展的廣告投放以及用戶追蹤技術FLoC,但對媒體表示他們不支持蒐集未經用戶同意的使用者身份訊號,像是瀏覽器指紋的廣告方案。
中華電攻企業專網 組行動PC聯盟 中央通訊社
中華電今天宣布與高通攜手微軟及台灣筆電大廠等成立「企業數位轉型行動陣線」,將從企業專網建置到個人筆電,提供企業數位轉型整體解決方案;中華電並看好今年企業專網營收將有數倍以上的成長。
VLSI研討會登場!聚焦AI晶片.記憶體發展 非凡新聞網
半導體景氣熱呼呼,但今天登場的VLSI 國際超大型積體電路技術研討會卻顯得有點冷清,主要是因為疫情影響,許多國外廠商無法來台,讓參加人數不如往年踴躍,不過卻也運用了直播、聊天室等數位化科技連結國際。會中也聚焦AI晶片運算、小晶片系統、量子電腦以及半導體材料等相關技術發展與未來趨勢,參與的業者們更直言,台灣未來半導體發展不可限量。
反制中共威脅 國安局將成立大數據資料庫 中央通訊社
因應敵情威脅及中共對台認知作戰,國家安全局今天表示,將以情報驅動主動防禦的核心概念,規劃成立「國安資安數據資料庫」,藉由大數據智能分析的技術,發掘潛在網駭威脅,加大國安團隊的防禦縱深。
智慧工廠資安問題複雜 IIoT、邊緣運算皆為關鍵因子 電子時報
工業4.0浪潮於近年蔚為話題,尤其在5G、AI、物聯網(IoT)科技蓬勃發展之際,更讓智慧工廠成為數位轉型的重要一環。
Microsoft Edge 推出兒童模式,讓孩子擁有更安全的上網環境 電腦王阿達
在現代的家庭中,上網的年齡層不斷下修,甚至是幼兒園的孩童就已經開始透過網路開始接觸到外界的各種資訊,然而因為網路的自由性,很難確保孩子們接收到的資訊都是正確與健康的。微軟最新推出的 Microsoft Edge 90 版本中放入最新的「兒童模式」,進一步讓孩子在受到保護的環境中安心上網。
台大醫院獲微軟贊助,助 COVID-19 患者基因分析研究 科技新報網
台大醫院參與微軟全球 AI for Health 計畫,運用 Azure HPC(高效能運算)在全球最大英國 Bio Bank 的基因資料庫進行大規模運算,大幅提升 40 倍以上運算效率,也成功完成亞洲第一大規模的基因插補程序,實質推動基因研究進展,為將來科學研究鋪下基礎,推動疾病預防落實。
Google Project Zero更新漏洞揭露政策,提供30天的修補緩衝期 iThome
專門探究各種零時差漏洞的Google Project Zero本周公布2021年的漏洞揭露政策,若業者在90天內修補了漏洞,那麼Project Zero團隊將會再提供30天的修補緩衝期,以讓使用者有充裕的修補時間,之後才會公開漏洞的技術細節,但倘若業者未能於90天內修補,那麼該團隊在90天後就會直接公開漏洞細節。
Chrome 90問世:以HTTPS作為預設,嵌入隱私沙箱控制 iThome
過去Chrome會優先將使用者導至基於http://的網站,但從Chrome 90開始,瀏覽器預設選擇https:// ,若該站尚未支援https://,才會連至http://。
歐洲商會:台徵才市場反彈 科技業加薪上看15% 自由時報電子報
歐洲商會昨與華德士共同發表「二○二一年華德士薪資報告」指出,受美中貿易戰、疫情影響,「China +1(中國加一)」成為國際企業供應鏈布局策略,國內外企業擴大在台招募員額,並吸引海外國人及香港人才來台工作;今年科技、醫療、供應鏈管理等就業市場熱絡,科技人才轉職時可望獲得十%到十五%加薪幅度,供應鏈管理人才轉職預估有十五%到十八%加薪幅度。
漏洞揭露 視訊會議軟體 Pwn2Own Pwn2Own 2021揭露Zoom重大RCE漏洞 iThome電腦報周刊
上周Pwn2Own競賽中,研究人員揭露視訊平臺Zoom漏洞,可讓攻擊者在無需用戶任何動作下,遠端執行程式碼(RCE)。
Kubernetes GO函式庫漏洞可引發DoS攻擊 iThome
Palo Alto公司的Unit42研究人員Aviv Sasson是在K8s運行的一個名為container/storage的Go函式庫中,發現安全漏洞CVE-2021-20291。這個漏洞可以在儲存庫(registry)上傳惡意映像檔時觸發,即當使用者從registry拉取這個映像檔時,造成對CRI-O及Podman兩個容器引擎的DoS攻擊。
北韓駭客Lazarus鎖定電子商城發動網站側錄攻擊,目標是竊取加密貨幣 iThome
駭客針對線上購物發動側錄攻擊的情況相當常見,目標自然是購物所使用的信用卡或支付卡,但近期威脅情資業者Group-IB發現,北韓APT駭客組織Lazarus開始對於能使用加密貨幣付款的電商下手,並竊得比特幣與以太幣。
個人資料自主運用 國發會MyData平台正式上線 中央通訊社
國發會建置的「個人化資料自主運用(MyData)平台」今天正式上線,民眾可自行下載運用個人化資料、或單次即時同意傳輸給第三方運用,創造精準數位服務,讓生活更加便利。
臉書監察委員會開放臉書與IG用戶上訴未被刪除的內容 iThome
臉書所設立的獨立監察委員會(Oversight Board)在去年10月開張,當時僅允許使用者針對已被移除的內容提出上訴,本周臉書進一步擴大上訴範圍,開放臉書與Instagram(IG)用戶針對未被移除的內容提出上訴,相關上訴機制將在未來幾周部署至全球市場。
Chromium第二項漏洞又有概念驗證攻擊程式公布 iThome
美國網路安全暨基礎架構管理署(CISA)發布6項Chromium漏洞資訊,其中有2個漏洞已被研究人員公開概念驗證(PoC)開採程式,目前Google和微軟已釋出Chrome和Edge更新版本予以修補。
針對美國報稅季的網釣攻擊擴大,利用Typeform假冒退稅文件,欺騙受害者登入,藉此收集受害者資料。 iThome
由於,今年美國報稅期限延長至5月,在之前已有出現許多假冒美國國稅局的網路釣魚事件。而這次的事件的目標,是針對已繳稅的納稅人,他們可能會收到稅收文件。據傳言,是藉由偽裝成Microsoft OneDrive,附上退稅及W2表格(工資與稅務說明書)的共享連結,欺騙納稅人點進去,並要求登入電子郵件及密碼,送出後,畫面就會呈現文件受保護,無法成功驗證身分,但其實駭客只是想獲得多種可能的帳號、密碼組合。
卡普空:老舊備援VPN引發去年勒索軟體及資料外洩事件 iThome
去年卡普空北美分公司因應服務爆量,將舊款VPN作為通訊問題發生時的緊急備援,不料其中一臺卻成為駭客入侵管道,進而擴大到美國及日本使用舊款VPN裝置的分公司,導致資訊外洩。
愛爾蘭正式對臉書5.3億資料外洩啟動GDPR調查 iThome
針對2019年臉書的聯絡人匯入機制遭濫用,所引發的個資外洩事件,愛爾蘭資料保護主管機關要針對臉書愛爾蘭分公司當年處理用戶個資過程中,是否違反GDPR及2018年資料保護法進行調查。
2016年是誰幫FBI破解iPhone?是澳洲的Azimuth Security iThome
華盛頓郵報指出,當年Azimuth員工為了幫FBI解鎖嫌犯的iPhone 5c,開採了蘋果在Lightning傳輸埠所使用的Mozilla開源碼漏洞,該漏洞後來隨即被修補。