今日暫無新事故報告,請參閱最新 HKCERT 安全公告
今日(2026年6月1日)暫無新的香港資安事故報告。昨日(5月31日)白帽黑客公開 Windows 六個零日漏洞引發業界披露倫理爭議,以及 Microsoft 發布 KB5089573 修復 Patch Tuesday 安裝失敗。Canvas 教育平台資料外洩仍為近期最大焦點,逾 7.2 萬香港師生個資受影響。
港網安資訊台 · CyberHK News
統一資安資訊入口 — 集合本地新聞匯流、CVE 漏洞監控及政府機構事故統計,資料來源涵蓋 26 個本地及國際媒體,每 8 小時自動更新。
Open Data API
資料來源:HKCERT 及 GovCERT.HK 公開數據 API · 同步中⋯
| 事故類型 | 2026 | 2025 |
|---|---|---|
| 🔓 入侵資訊系統或數據資產 | 1 | 1 |
| 🌊 拒絕服務攻擊 | 0 | 0 |
| 🔐 勒索軟件 | 0 | 1 |
| 💾 遺失存有保密資料的流動裝置 | 1 | 3 |
| ⚠️ 濫用資訊系統 | 0 | 2 |
| 📤 泄漏電子保密資料 | 0 | 3 |
| 🖊 網站遭塗改 | 0 | 1 |
資訊匯流
共 37 則 · 資料來源涵蓋 HKCERT、政府新聞網、私隱公署、RTHK、SCMP 等 26 個媒體
今日(2026年6月1日)暫無新的香港資安事故報告。昨日(5月31日)白帽黑客公開 Windows 六個零日漏洞引發業界披露倫理爭議,以及 Microsoft 發布 KB5089573 修復 Patch Tuesday 安裝失敗。Canvas 教育平台資料外洩仍為近期最大焦點,逾 7.2 萬香港師生個資受影響。
安全研究員「夢魘日蝕(Nightmare Eclipse)」近日公開曝光 Windows 及微軟其他系統共六個高危安全零日漏洞。按業界慣例,此類漏洞應直接提交微軟由官方推送修補,但該研究員因不滿微軟回應方式而選擇公開披露。事件引發資安界對漏洞披露倫理的廣泛討論,企業應密切關注微軟後續補丁發布。
微軟發布累積更新 KB5089573,針對 Windows 11 25H2 及 24H2 版本修復 2026 年 5 月 Patch Tuesday(KB5089549)導致的關鍵安裝失敗問題。受影響用戶此前遇到錯誤代碼 0x800f0922。此更新同時包含性能優化及多項穩定性修復,建議企業優先部署。
Oracle 多款企業產品被揭出多個安全漏洞,遠端攻擊者可利用相關問題觸發拒絕服務、敏感資訊外洩及資料篡改。受影響產品包括 Oracle Database Server、Oracle E-Business Suite、Oracle Hospitality OPERA 5 及 Oracle REST Data Services。使用 Oracle 企業系統嘅機構應評估受影響版本並盡快套用官方修補程式。
Google Chrome 瀏覽器再度被揭出多個高危漏洞,遠端攻擊者可觸發遠端執行程式碼、拒絕服務、繞過安全限制及敏感資訊外洩。用戶應立即開啟「說明 → 關於 Google Chrome」確認已更新至最新版本,並重啟瀏覽器。
Microsoft Edge 瀏覽器被揭出多個安全漏洞,遠端攻擊者可觸發遠端執行程式碼、拒絕服務、繞過安全限制及敏感資訊外洩。Edge 用戶應開啟「說明及意見反應 → 關於 Microsoft Edge」確認已安裝最新版本,並重啟瀏覽器完成修補。
今日(2026年5月28日)暫無新的香港資安事故報告。昨日(5月27日)HKCERT 已發出 Nginx 遠端執行程式碼漏洞高危警報,敬請管理員優先處理。
Nginx 網頁伺服器被揭出嚴重遠端執行程式碼漏洞(CVE-2026-9256),源於已存在逾 18 年嘅 Rewrite 模組缺陷,攻擊者可在毋須驗證身份嘅情況下觸發遠端執行程式碼及繞過安全限制。受影響版本為 Nginx 1.30.2 穩定版及 1.31.1 主線版之前嘅所有版本。管理員應立即更新至已修補版本。
Trend Micro Apex One 端點保護平台被揭出多個高危漏洞,其中 CVE-2026-34926 已確認遭在野積極利用——未經驗證嘅本地攻擊者可修改伺服器關鍵資料表,植入惡意程式碼並部署至所有受管代理端點。受影響機構應即時套用 Trend Micro 官方修補。
HKCERT 發出警示,騙徒大量架設偽冒「防騙協調中心(ADCC)」網站,聲稱可協助受騙市民追回損失,誘騙受害人轉至偽冒 WhatsApp 頁面盜取個人資料,屬「二次詐騙」手法。ADCC 官方網站僅為 adcc.gov.hk,求助熱線為「防騙易 18222」。
Microsoft Defender 被發現多個高危漏洞,其中 CVE-2026-41091(本地提升權限)及 CVE-2026-45498(拒絕服務)均已確認遭在野積極利用。企業應優先透過 Windows Update 及 Microsoft Defender 更新頻道部署最新修補。
廣泛使用嘅開源內容管理系統 Drupal 被揭出遠端執行程式碼漏洞,遠端攻擊者可於目標伺服器上執行任意程式碼。大量政府部門、非牟利機構及企業網站依賴 Drupal,網站管理員應即時更新至官方修補版本並重啟服務。
Mozilla Firefox 及 Thunderbird 系列產品被揭出多個安全漏洞,遠端攻擊者可觸發拒絕服務、提升權限、遠端執行程式碼及繞過安全限制。企業及個人用戶應即時透過官方渠道更新至最新版本,並重啟瀏覽器及電郵客戶端以完成修補。
F5 BIG-IP 及相關網絡設備被揭出多個嚴重漏洞,可被遠端攻擊者觸發拒絕服務、遠端執行程式碼及繞過安全限制;部分漏洞已有概念驗證攻擊代碼流出。管理員應立即套用官方修補並審查設備存取控制。
香港私隱專員公署批評 Canvas 母公司 Instructure 向 ShinyHunters 支付贖金嘅做法「要譴責」,強調付款等同縱容非法行為,且無法保證資料不被再度洩露。公署已要求七間受影響院校向逾 7.2 萬名師生發出個別通知並提供必要協助。
Adobe 發布 2026 年 5 月例行安全更新,涵蓋 Acrobat、Reader、Photoshop、After Effects、InDesign 等多款核心產品,修補包括遠端執行程式碼、跨網站指令碼及提升權限在內嘅多類漏洞。企業用戶應優先透過 Creative Cloud 部署修補。
MongoDB 資料庫再度被揭出多個安全漏洞,遠端攻擊者可利用相關問題觸發遠端執行程式碼、敏感資料外洩及拒絕服務攻擊。大量後端應用及雲端服務依賴 MongoDB,管理員應盡快安排升級至官方修補版本並檢視存取控制設定。
微軟發布 2026 年 5 月例行安全更新(Patch Tuesday),修補 Windows、Office、Azure、Exchange 及 Edge 等產品嘅多個高危漏洞,涵蓋欺騙、遠端執行程式碼、提升權限、拒絕服務及資訊外洩等多類問題。HKCERT 建議企業即時透過 WSUS 或 Windows Update 部署修補程式。
Apple 公布多款產品存在安全漏洞,涵蓋 iOS、iPadOS、macOS、watchOS 及 tvOS,攻擊者可利用漏洞觸發拒絕服務、提升權限、遠端執行程式碼及資訊外洩。建議所有 Apple 裝置用戶於「設定 → 一般 → 軟體更新」安裝最新版本。
Fortinet 多款網絡安全產品(包括 FortiOS、FortiProxy、FortiManager)被揭出高危漏洞,可被遠端攻擊者利用觸發拒絕服務、提升權限及遠端執行程式碼。企業防火牆及 SD-WAN 環境應即時規劃停機視窗套用修補。
Canvas 教育平台遭 ShinyHunters 黑客組織入侵,香港七間教育機構合共逾 72,000 名師生嘅姓名、電郵、學號及訊息記錄疑已外洩。受影響院校包括理大(約 42,000 人)、城大(約 28,000 人)、科大、演藝學院、建造學院、藝術學院及香港教育城。全球受影響院校逾 9,000 間,涉及 2.75 億用戶資料。
Canvas 平台母公司 Instructure 宣布已與 ShinyHunters 達成協議,對方聲稱已銷毀竊取嘅資料。惟香港私隱公署批評此舉等同縱容非法行為,警告付贖金並不能保證資料完全銷毀,呼籲受影響院校及師生提高警覺,防範後續釣魚攻擊。
香港警方就 Canvas 教育平台入侵事件已接獲兩宗報案,其中一宗涉及市民收到疑似利用洩漏資料發動嘅詐騙訊息,聲稱 Canvas 系統需要修復並提供電話號碼誘騙致電。警方提醒受影響師生切勿點擊來歷不明連結。
Canvas 全球大規模入侵事件已確認導致 72,571 名香港師生個人資料外洩,涵蓋香港科技大學、香港理工大學等七間教育機構。外洩資料包括姓名、電郵地址及學號,黑客組織 ShinyHunters 以勒索方式要求 Canvas 母公司支付贖金。
HKCERT 已動用自家研發嘅 AI 系統主動偵測與 Canvas 事件相關嘅釣魚網站。HKCERT 提醒受影響師生,外洩資料可被製作極具針對性嘅釣魚電郵,收到任何要求重設密碼或核實帳號嘅訊息時須格外警惕。
繼首批五間院校後,城市大學(約 28,000 名學生)及香港藝術學院(約 71 名學生)亦確認向私隱公署通報 Canvas 資料外洩。有院校已陸續收到勒索電郵,要求支付比 Instructure 協議更高嘅贖金,否則威脅公開有關資料。
個人資料私隱專員公署確認已接獲七間本地教育機構就 Canvas 平台入侵事件提交嘅資料外洩通報,並已建議各機構盡快個別通知受影響人士及提供協助。公署同時提醒市民留意後續釣魚攻擊風險。
RedHat Enterprise Linux 系統核心爆出多個高危漏洞,其中 CVE-2026-31431(Copy Fail)已遭在野利用——攻擊者以單一 732 字節 Python 腳本即可取得 root 權限,影響 2017 年以來幾乎所有主流 Linux 發行版。CVE-2026-43284 及 CVE-2026-43500(「Dirty Frag」)亦已零散被利用。管理員應立即更新核心並重啟系統。
私隱公署確認五間本港教育機構因 Canvas 教育平台遭 ShinyHunters 黑客組織入侵而受影響,包括香港理工大學(約 42,000 人)、香港科技大學、香港演藝學院、香港建造學院及香港教育城。攻擊者透過平台漏洞竊取師生姓名、電郵及學號,並威脅若不繳贖金將公開全部資料。
Canvas 教育平台全球遭受大規模入侵,黑客組織 ShinyHunters 聲稱竊取 3.65 TB 資料,涉及全球約 9,000 間院校共 2.75 億用戶。本港五間院校同日確認受波及,攻擊者利用 Canvas 免費教師帳戶漏洞作突破口進入平台數據庫。
Google Chrome 瀏覽器被揭出多個安全漏洞,包括記憶體存取問題及安全限制繞過,攻擊者可透過特製網頁觸發漏洞。用戶可開啟「說明 → 關於 Google Chrome」確認已安裝最新版本,並重啟瀏覽器完成修補。
Palo Alto Networks PAN-OS 發現高危遠端執行程式碼漏洞,攻擊者可透過管理介面發動攻擊而毋須驗證身份。使用 Palo Alto 防火牆嘅企業應立即套用官方修補程式,並檢查管理介面嘅存取控制設定。
Apache HTTP Server 存在多個安全漏洞,可能令攻擊者遠端執行任意程式碼或繞過認證機制。全球大量網頁伺服器依賴 Apache,管理員應盡快更新至最新版本並重啟服務。
WhatsApp 被揭出多個漏洞,可能導致資訊外洩或遠端執行程式碼。受影響版本涵蓋 Android 及 iOS 平台,用戶應立即透過應用程式商店更新至最新版。
Google Android 系統出現嚴重遠端執行程式碼漏洞,攻擊者可藉特製訊息或應用程式在用戶裝置上執行任意代碼,毋須實體接觸。建議所有 Android 用戶盡快透過「設定 → 系統更新」安裝最新安全補丁。