本週IT安全與科技要聞速報(2026年5月8日)
今個星期IT界相當之唔平靜,由Linux Kernel重大漏洞到教育平台遭受勒索軟件攻擊,再到Google同Mozilla各自有新動向。等我同大家整理返三單最值得關注嘅新聞。
🐧 DirtyFrag:Linux通用本地提權漏洞曝光
5月7日,Openwall安全社群公開咗一個名為「DirtyFrag」嘅Linux kernel本地提權(LPE)漏洞。呢個漏洞影響範圍極廣,幾乎所有主流Linux distribution都受影響,包括Ubuntu、Debian、RHEL、Fedora等。
漏洞詳情:
- 漏洞類型:記憶體管理相關嘅本地提權漏洞,涉及kernel fragmentation機制
- 影響層面:本地低權限用戶可透過精心構造嘅exploit取得root權限
- 攻擊難度:已公開完整PoC(Proof of Concept),攻擊門檻低
- 受影響版本:Linux Kernel 5.10至6.12之間多個版本(具體範圍仍在確認中)
- 來源:Openwall oss-security mailing list(2026年5月7日)
影響分析:
呢個漏洞嘅危險之處在於佢係本地提權——攻擊者首先需要已經有一個低權限shell(例如透過web application漏洞、phishing取得initial access),然後用DirtyFrag提權到root,完全控制成部server。對於shared hosting環境(多個用戶共享同一部server)嚟講,風險極高,因為一個user中招就可以橫向影響其他所有用戶。
暫時緩解措施:
- 密切留意你所用嘅distribution嘅security advisory,盡快apply kernel patch
- 如果短期內未能patch,考慮啟用kernel hardening機制如
kernel.kptr_restrict=2同kernel.dmesg_restrict=1 - 確保SELinux或AppArmor處於enforcing mode
- 限制local user access,尤其係shared hosting environment
- 監控異常嘅privilege escalation行為(auditd logs)
今次係繼Dirty Pipe(CVE-2022-0847)同Dirty COW(CVE-2016-5195)之後,又一單以”Dirty”命名嘅重大Linux漏洞,各位sysadmin要打醒十二分精神!
🎓 Canvas LMS遭ShinyHunters勒索軟件攻擊,全球學校受影響
教育科技界呢幾日好唔太平。Instructure旗下嘅Canvas學習管理系統(LMS)喺5月7日證實遭受重大資料外洩事件,著名黑客組織ShinyHunters承認責任,並威脅會公開大批學校同學生數據。
事件經過:
- Instructure早前確認發生data breach
- ShinyHunters其後發出勒索訊息,威脅洩漏所獲取嘅資料
- 截至5月7日晚間,Canvas平台出現大規模服務中斷
- 全球數以千計嘅大學、中學及K-12學校受影響
- 來源:The Verge(2026年5月7日,作者Emma Roth)
影響分析:
Canvas係全球最大嘅LMS平台之一,特別喺北美高等教育市場佔有率極高。受影響嘅資料可能包括:學生個人資料、成績紀錄、課程內容、甚至係提交咗嘅功課同考試答案。對於正值期末考試季節嘅學校嚟講,呢次中斷造成嘅影響相當嚴重。
ShinyHunters係一個臭名昭著嘅黑客組織,過往曾經攻擊過Microsoft GitHub、AT&T、Pizza Hut等大型企業,以竊取並在黑市出售大量用戶數據聞名。今次佢哋針對教育機構出手,顯示教育界嘅網絡安全防禦仍然係薄弱環節。
建議:如果你係Canvas用戶(學生或教師),建議盡快更改密碼,並啟用MFA(如果尚未啟用),同時留意是否有可疑嘅phishing email假扮Canvas通知。
🤖 Mozilla Mythos漏洞掃描工具創下「幾乎零誤報」紀錄
Mozilla喺5月7日公佈咗佢哋嘅AI驅動安全工具Mythos嘅最新成果:呢個工具成功發現咗271個真實漏洞,而且官方宣稱「幾乎冇false positive」。
關於Mythos:
- Mythos係Mozilla開發嘅AI輔助漏洞掃描平台
- 利用machine learning模型分析codebase,識別潛在安全漏洞
- 今次成果涵蓋多個主流open source project
- 271個漏洞全部經過人手驗證確認為真漏洞
- 來源:Ars Technica(2026年5月7日)
點解呢個消息咁重要?
傳統SAST(Static Application Security Testing)工具一向俾人垢病「false positive多到嚇死人」,security engineer要花大量時間triage一大堆假警報,真正嘅漏洞反而被淹沒。Mythos能夠做到「幾乎零false positive」,代表AI喺程式碼安全分析方面已經達到一個新嘅成熟度。
呢個發展對整個行業嘅意義係:AI唔再只係輔助角色,而係可以成為主要嘅安全審計工具。對於資源有限嘅中小型open source project嚟講,呢類工具可以大幅降低被漏洞困擾嘅風險。
目前Mythos仍未對外全面開放,但Mozilla表示正在考慮開源部份組件。各位development team lead可以密切留意呢個project嘅發展。
總結
今個星期嘅IT新聞反映咗幾個趨勢:Linux kernel安全仍然係infrastructure defence嘅重中之重;教育界嘅網絡安全投資明顯不足,成為攻擊者新目標;而AI喺安全領域嘅應用正由「輔助」走向「主力」。各位IT人,keep住更新、keep住警覺 💻🔒
#更新 #IT新聞 #行業資訊 #AI #攻擊
