网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】Apple Watch对讲机APP曝出窃听漏洞

2019-07-16 09:43 推荐: 浏览: 24 views 字号:

摘要: 英特尔修复了两个新安全漏洞 英特尔修复了两个新安全漏洞,一个高危一个中危。第一个漏洞位于处理器的诊断工具中,编号 CVE-2019-11133,可以本地利用,允许用户通过本地访问进行提权或披露信息或拒绝服务,受影响的是 4.1.2.24 之前的版本。第二个漏...

英特尔修复了两个新安全漏洞

英特尔修复了两个新安全漏洞,一个高危一个中危。第一个漏洞位于处理器的诊断工具中,编号 CVE-2019-11133,可以本地利用,允许用户通过本地访问进行提权或披露信息或拒绝服务,受影响的是 4.1.2.24 之前的版本。第二个漏洞位于用于数据中心的固态硬盘 DC S4500/S460 的固件中,SCV10150 之前的版本受到影响,漏洞利用也需要进行本地物理访问,它潜在允许未经授权的用户进行提权。英特尔过去一个月披露了其产品的多个安全漏洞,其中多数是高危漏洞。

参考来源:

https://www.solidot.org/story?sid=61344

 

全美超过 225 位市长支持不向黑客支付赎金的决议

据《纽约时报》报道,全美超过225位市长支持一项不向黑客支付赎金的决议。这项名为“反对向勒索软件攻击犯罪者付款” 的决议指出,市长们应“团结一致反对在发生IT安全漏洞时支付赎金”。该决议来自628日至71日在檀香山举行的年度美国市长会议。根据该声明,自2013年以来,至少有170个县、市或州政府系统成为勒索软件攻击的目标。这些攻击使用的恶意软件程序使系统无法运行,黑客通常要求以加密货币的形式支付费用。该决议发布之前,今年有近二十多个美国城市受到勒索软件攻击,

参考来源:

http://hackernews.cc/archives/26423

 

Evite 1.01 亿账号信息被盗

电子邀请网站 Evite 发布安全通知,承认部分用户账号信息被盗。名叫 Gnosticplayers 的黑客今年四月在暗网销售六家公司的用户数据,其中一家就是 EviteEvite 在通知中称,恶意活动始于 2019 2 22 日,它在 4 月才得知系统被未经授权访问,5 14 日它得出结论黑客获取了它的一个不使用的数据存储文件,储存了 2013 年之前的用户数据,其中包括姓名,用户名,电子邮件地址,密码,如果用户填入的话还包括电话号码、出生日期和邮箱地址。Evite 称它没有收集社会安全号码或银行账号信息。它已经向受影响的用户发去通知重置密码。

参考来源:

https://www.solidot.org/story?sid=61356

 

德国黑森州禁止学校使用微软 Office 365

德国黑森州数据保护专员做出裁决,禁止学校使用微软的 Office 365。这一裁决是过去几年关于学校或其它政府机构是否应该使用微软软件展开辩论得出的结果。用户在使用微软的 Office 365 平台,除了提供个人信息外,还会将遥测数据发回美国。遥测数据除了标准的软件诊断信息外还会包含用户内容,比如文档或邮件主题中的语句。这些做法违反了欧洲的数据保护规定 GDPR。微软曾尝试解决德国对数据保护的担忧,因此一度将德国用户的数据储存在德国境内。但在 2018 8 月,微软关闭了德国的本地储存,因此遥测数据再次传回了美国。美国过去几年通过的法律赋予了政府更多权力,可以向科技公司索要数据。鉴于这些情况数据保护专员禁止学校使用微软的云服务。                    

参考来源:

https://www.cnbeta.com/articles/tech/867605.htm

 

Apple Watch对讲机APP曝出窃听漏洞

使用Apple Watch的用户需要注意了,其中的对讲机APP——Walkie Talkie被曝出存在漏洞。苹果上周四曾发出声明指出,其发现Apple Watch上的Walkie-Talkie APP出现了某项漏洞,或让恶意人士窃听他人iPhone上的通话。为此苹果已紧急关闭了上述功能。不过苹果指出,这个漏洞的利用难度较大,需要特定条件以及一系列代码触发。截至目前,苹果并未发现有任何用户遭到相关攻击。据悉,Walkie-Talkie是一款一键通话APP,它由FaceTime Audio演变而来,并在watchOS 5中加入到Apple Watch。这款APP的用法如同对讲机,用户只需按下界面上的交谈键后即可相互呼叫。目前这项APP仍在Apple Watch上,但通话功能已经被苹果方关闭而无法使用。

参考来源:

http://safe.zol.com.cn/721/7218067.html

 

时隔三年半:罗技无线接收器依然存在 MouseJack 严重安全漏洞

三年半前,外媒The Verge的编辑Sean Hollister亲眼见证了安全专家Marc Newlin在不物理接触设备、甚至不需要知道IP地址的情况下,利用罗技无线鼠标上的小型USB收发器触发几行代码,就可以实现全格硬盘、安装恶意程序等一系列操作,更糟糕的是整个操作就像物理访问该电脑一样。于是在2016年,外媒The Verge发表了关于“MouseJack”的黑客方式,罗技官方随后也立即发布了紧急修复补丁来修复这个问题。然而最近,安全专家Marcus Meng表示罗技的无线Unifying dongles实际上依然存在漏洞,非常容易受到黑客的攻击。当用户配对新的鼠标或者键盘时候,就有机会入侵你的电脑。而且Mengs表示罗技依然在销售那些容易受到MouseJack黑客攻击的USB收发器。

参考来源:

http://hackernews.cc/archives/26428

 

即刻App暂停服务 此前曾因违规收集用户信息被通报 

712日下午,即刻App官方发布消息称,为了提供更好的服务,即日起将进行技术升级,升级期间即刻App暂时无法使用。即刻App突然进行技术升级的具体原因我们尚不得知,但近期,即刻App曾因违规收集用户信息被广东网警通报。75日,广东网警通报了2019年第二季度超范围收集用户信息App清理整治的工作情况,网警监测发现,1048App存在超范围收集用户信息行为。其中,即刻App、酷狗音乐、艺龙旅行等42App,存在超范围读取用户通话记录、短信或彩信,收集用户通讯录、用户设备上已知账号,超权限使用用户设备麦克风等突出安全问题。

参考来源:

https://www.cnbeta.com/articles/tech/867163.htm

联系站长租广告位!

中国首席信息安全官


关闭


关闭