网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】2019年10月Android安全补丁发布:共计修复 26处漏洞

2019-10-10 07:42 推荐: 浏览: 26 views 字号:

摘要: 2019年10月Android安全补丁发布:共计修复 26处漏洞 最新发布的2019年10月安全补丁更新中,谷歌共计修复了Android系统中26个漏洞,其中包括影响Android 10的一组远程代码执行漏洞。在本次修复的漏洞中,危害等级最高的是存在于Medi...

201910Android安全补丁发布:共计修复 26处漏洞

最新发布的201910月安全补丁更新中,谷歌共计修复了Android系统中26个漏洞,其中包括影响Android 10的一组远程代码执行漏洞。在本次修复的漏洞中,危害等级最高的是存在于Media框架中的三个远程代码执行漏洞 (CVE-2019-2184, CVE-2019-2185, and CVE-2019-2186),所有三个均标记为“Critical”,Android 7.1.1, 7.1.2, 8.0, 8.19均受影响。谷歌在更新日志中写道:“这些问题中最严重的是Media框架组件中的关键安全漏洞,远程攻击者可以利用这些漏洞,使用特制的的文件获得提权并运行任意代码。”CVE-2019-2185CVE-2019-2186也确认影响最新的Android 10系统。不过由于谷歌在Android 10中引入了全新的安全机制,因此影响程度并没有此前Android版本那么严重,谷歌仅标记为“Medium”等级。

参考来源:

http://hackernews.cc/archives/27652

 

U盘仍是企业计算机安全风险的主要威胁

一份最新报告显示,尽管云存储兴起,87%企业仍在使用USB驱动器。加密驱动器制造商Apricorn的研究表明,58%的公司和组织不使用端口控制或白名单软件来管理USB设备的使用,而26%的用户不使用基于软件的加密。此外,只有不到一半的组织(47%)要求对存储在USB驱动器上的数据进行加密,但是有91%的员工表示公司要求他们必须使用加密的USB驱动器。Apricorn最新这份调查显示,只有不到一半的组织(47%)制定了USB驱动器丢失/被盗政策,而2017年这一比例为50%53%的被调查者声称他们的组织没有适当技术来防止或检测将机密数据下载到USB驱动器上,而Apricorn2017年的调查显示,54%的人声称他们的组织确实拥有这些技术。

参考来源:

https://www.cnbeta.com/articles/tech/897055.htm

 

埃及使用 Google Play 传播间谍应用

很可能与埃及政府有关联的黑客组织使用官方应用商店 Google Play 去传播间谍应用,他们针对的目标包括记者、律师和反对派政客。安全公司 Check Point Technologies 披露,黑客组织使用的一个间谍应用叫 IndexY,主要功能是查询电话号码,它需要的一个权限是访问呼叫历史和联络人,虽然权限敏感,就其功能而言似乎是合理的。然而在背后它记录了每一次呼入呼出的电话,以及日期和时间。应用硬编码了域名 indexy[.]org,该域名上的文件显示开发者积极的收集和分析呼叫信息。在被下架之前它的安装量大约 5000 次。Check Point  认为黑客组织使用了至少三种间谍应用,另外两种是 iLoud 200% v1.apk

参考来源:

https://www.solidot.org/story?sid=62179

 

哈里王子告两家报刊侵犯隐私 以黑客手段入侵其手机

英国哈里王子控告畅销小报《太阳报》和《每日镜报》的出版商,指该两家报社容许记者以黑客手段入侵他的手机,截取及窃听讯息。哈里律师提交上法庭的文件说,哈里的电话被人非法截听及窃取留言信箱的内容。英国广播公司(BBC)称,针对《太阳报》出版商新闻集团报业的起诉书,提及入侵事件可追溯至2010年,但未清楚涉及《每日镜报》的案件在什么时候发生。新闻集团旗下另一份小报《世界新闻报》多年前被控容许记者以违法手段采访,包括未经授权入侵他人电话。该报于2011年被逼停刊。2011年,英国曾曝出震惊全球新闻业的电话窃听案,受害者近6000人,威廉王子、凯特王妃以及哈里王子也在其列。

参考来源:

http://news.xiancity.cn/system/2019/10/08/030687211.shtml

 

三星:20多处安全漏洞影响所有Galaxy旗舰机型

据外媒报道,日前,三星方面证实,此次发现的安全漏洞涉及几乎所有Galaxy旗舰机型,据悉,受影响的机型包括:Galaxy S8S9S10S10eS10 PlusS10 5GNote 9Note 10Note 10 Plus等。其中,包括一个非常严重的漏洞和三个被评为“高危”的漏洞。总而言之,它们涉及到约21个安全问题,其中17个与三星“One”用户界面有关,4个与安卓有关。有关安卓的漏洞,上周,谷歌已公布,攻击者正利用谷歌安卓移动操作系统中的“零日漏洞”进行攻击。该漏洞可让他们完全控制至少18种不同型号的手机,其中包括四个型号的Pixel手机,及三星Galaxy S7S8S9

参考来源:

https://www.bianews.com/news/details?id=44596

 

谷歌发布Deepfake检测数据集:真人多场景拍摄,生成3000段假视频

Google致力于开发AI最佳实践,致力于减少AI技术滥用所带来的伤害和滥用。去年1月,Google发布了合成语音数据集,支持开发高性能合成音频检测器的国际挑战赛。作为该挑战赛的一部分,共有超过150个研究机构和行业组织下载了该数据集,这个数据集现在免费对公众开放。现在,谷歌与Jigsaw合作,发布大型可视化Deepfake数据集,现已纳入Face Forensics视频基准测试。Face Forensics基准测试是德国慕尼黑工业大学和意大利那不勒斯腓特烈二世大学开发的图像测试。为了制作这个数据集,在过去的一年中,谷歌与众多演员一起录制了数百个视频。然后使用公开可用的Deepfake生成方法,利用这些视频创建了数千个Deepfake假视频。这些由真实视频和虚假视频组成的数据集可以用于Deepfake的检测和识别。作为FaceForensics基准测试的一部分,该数据集现在已经开放供研究社区免费使用,用户可以用来开发合成视频检测的方法。

参考来源:

https://www.secrss.com/articles/13983

 

黑客攻击Volusion 从数千个网站收集用户银行卡详细信息

zdnet消息,黑客攻击了云托管在线商店提供商Volusion的基础设施,并正通过传送恶意代码,记录和窃取用户以在线形式输入的支付卡详细信息。据称,超过6500 家将店铺受到影响。黑客成功攻击Volusion的谷歌云基础设施之后,修改了一个ja vasc ript文件,并包含了记录在线表单中输入的卡详细信息的恶意代码。网络安全专家称之为Magecart攻击,诈骗者从网上商店而不是 ATM窃取支付卡细节。这种类型的黑客攻击已经发生多年了,但在过去的两年里已经加剧了。在上周发布的一份报告中,RiskIQMagecart攻击已经达到顶峰,在过去几个月里,超过 18000 个网站上发现了盗取卡信息的恶意脚本(被称为skimmers)
参考来源:

https://nosec.org/home/detail/2939.html

联系站长租广告位!

中国首席信息安全官


关闭


关闭