火絨安全周報:Ins遭入侵600萬賬號被竊取 大部分PDF閱讀器存6年前老漏洞
1、Instagram 因 API 漏洞遭入侵,600萬知名賬號信息被竊取並在 DoxaGram 上出售
上周,美國女星 Selena Gomez 的 Instagram 被黑,發布前男友 Justin Bieber 的裸照。隨後幾天,名為 Doxagram 的網站公開兜售 600 萬 Instagram 大 V 賬號的郵箱地址和電話號碼等私密信息,運動名人、當紅明星、政治家、媒體都受到影響。有些外媒表示可能是黑客利用了 Instagram 網站的 API 漏洞,專門入侵知名度高的賬號,獲取郵箱地址和電話號碼等信息。
目前Instagram 已經確認公司遭到入侵,正在進一步調查。專家表示這個出售信息的 Doxagram 網站很可能就是由入侵 Instagram 的黑客創建的。
來源:http://www.freebuf.com/news/146511.html
2、6年的老漏洞"Loop Bug"重現,幾近全部PDF閱讀器中招
近日,德國軟體開發商HannoB?ck稱,一個早在2011年就被發現PDF解析庫的"loop"bug,如今又在主流PDF閱讀器中出現。該bug最初是由德國軟體開發商Andreas Bogk發現,該漏洞會導致Evince應用程序進入死循環,迅速耗盡內存後崩潰。Chrome、Firefox、GitHub的PDF解析庫都受到影響。同時,開源PDF解析器(如Ghostscript和QPDF)、在Windows 8或更高版本中默認安裝的Windows Runtime PDF Renderer庫或WinRT PDF也受影響。B?ck已向所有受影響的產品廠商報告了舊的錯誤信息,他們正準備為此推出補丁程序。
來源:http://www.freebuf.com/news/146633.html
3、被指預裝惡意軟體 聯想支付350萬美元與FTC和解
聯想從2014年開始在數十萬台筆記本電腦上預裝了軟體VisualDiscovery,美國聯邦貿易委員會(FTC)認為聯想在預裝軟體時侵犯了消費者的隱私,在沒有給出通知或獲得用戶同意的情況下就訪問消費者的敏感信息,稱該軟體能訪問消費者的社會保障號碼等敏感信息。
目前,聯想已經與FTC達成和解,聯想將支付350萬美元,並調整銷售筆記本電腦的方式,以換取FTC撤銷對其銷售預裝軟體的指控。
來源:http://www.cnbeta.com/articles/tech/648773.htm
4、主流語音助手都存漏洞 浙江大學發現DolphinAttack攻擊手段
最近,浙江大學的一個研究團隊發現,如今市場上的智能語音助手或多或少都存在一些安全漏洞,只要運用一個小技巧,就可以輕易控制它們。團隊把這個小技巧命名為"海豚攻擊"(The DolphinAttack),只要將特殊的語音指令轉換為類似海豚的超聲波,便可以在人類無法感知的情況下對智能語音助手下指令。這些聲音對於人耳來說是無法聽見的,但電子設備能聽到這些命令。在實驗過程中,研究人員成功的入侵了Google Assistant、蘋果的Siri、亞馬遜的Alexa、三星的S Voice、微軟的Cortana以及華為的HiVoice。研究人員不僅能夠"靜默"激活語音助手,而且還能執行撥打電話、打開網站、關閉飛行模式、通知綁定智能門鎖開門解鎖等命令。
5、Struts2 REST 插件 XStream 遠程代碼執行漏洞 S2-052(CVE-2017-9805)
2017年9月5日,Apache Struts 發布最新安全公告。Apache Struts2 的 REST 插件存在遠程代碼執行的漏洞,其編號為 CVE-2017-9805 ,漏洞危害程度為高危(Critical)。當用戶使用帶有 XStream 程序的 Struts REST 插件來處理 XML payloads 時,可能會遭到遠程代碼執行攻擊。
受影響版本:Apache Struts Version:2.3.33、Apache Struts Version:Struts 2.5 - Struts 2.5.12
解決方法:
1、升級Struts到2.5.13最新版本;
來源:https://www.seebug.org/vuldb/ssvid-96425
點擊展開全文
TAG:火絨實驗室 |