火絨安全周報：Ins遭入侵600萬賬號被竊取 大部分PDF閱讀器存6年前老漏洞

1、Instagram 因 API 漏洞遭入侵，600萬知名賬號信息被竊取並在 DoxaGram 上出售

上周，美國女星 Selena Gomez 的 Instagram 被黑，發布前男友 Justin Bieber 的裸照。隨後幾天，名為 Doxagram 的網站公開兜售 600 萬 Instagram 大 V賬號的郵箱地址和電話號碼等私密信息，運動名人、當紅明星、政治家、媒體都受到影響。有些外媒表示可能是黑客利用了

目前Instagram 已經確認公司遭到入侵，正在進一步調查。專家表示這個出售信息的

Doxagram 網站很可能就是由入侵 Instagram 的黑客創建的。

來源：http://www.freebuf.com/news/146511.html

2、6年的老漏洞」Loop Bug」重現，幾近全部PDF閱讀器中招

近日，德國軟體開發商HannoB?ck稱，一個早在2011年就被發現在PDF解析庫中的「loop」Bug，如今又在主流PDF閱讀器中出現。該Bug最初是由德國軟體開發商Andreas Bogk發現，會導致Evince應用程序進入死循環，迅速耗盡內存後崩潰。Chrome、Firefox、GitHub的PDF解析庫都受到影響。同時，開源PDF解析器（如Ghostscript和QPDF）、在Windows8或更高版本中默認安裝的Windows Runtime PDF Renderer庫或WinRT PDF也受影響。B?ck已向所有受影響的產品廠商報告了舊的錯誤信息，他們正準備為此推出補丁程序。

來源：http://www.freebuf.com/news/146633.html

3、被指預裝惡意軟體 聯想支付350萬美元與FTC和解

聯想從2014年開始在數十萬台筆記本電腦上預裝了軟體VisualDiscovery，美國聯邦貿易委員會(FTC)認為聯想在預裝軟體時侵犯了消費者的隱私，在沒有給出通知或獲得用戶同意的情況下就訪問消費者的敏感信息，稱該軟體能訪問消費者的社會保障號碼等敏感信息。

目前，聯想已經與FTC達成和解，聯想將支付350萬美元，並調整銷售筆記本電腦的方式，以換取FTC撤銷對其銷售預裝軟體的指控。

來源：http://www.cnbeta.com/articles/tech/648773.htm

4、主流語音助手都存漏洞 浙江大學發現DolphinAttack攻擊手段

最近，浙江大學的一個研究團隊發現，如今市場上的智能語音助手或多或少都存在一些安全漏洞，只要運用一個小技巧，就可以輕易控制它們。團隊把這個小技巧命名為「海豚攻擊」（The DolphinAttack），只要將特殊的語音指令轉換為類似海豚的超聲波，便可以在人類無法感知的情況下對智能語音助手下指令。這些聲音對於人耳來說是無法聽見的，但電子設備能聽到這些命令。在實驗過程中，研究人員成功的入侵了Google Assistant、蘋果的Siri、亞馬遜的Alexa、三星的S Voice、微軟的Cortana以及華為的HiVoice。研究人員不僅能夠「靜默」激活語音助手，而且還能執行撥打電話、打開網站、關閉飛行模式、通知綁定智能門鎖開門解鎖等命令。

來源：http://www.sohu.com/a/190500092_165095

5、Struts2 REST 插件 XStream 遠程代碼執行漏洞 S2-052(CVE-2017-9805)

2017年9月5日，Apache Struts 發布最新安全公告。Apache Struts2 的 REST 插件存在遠程代碼執行的漏洞，其編號為 CVE-2017-9805 ，漏洞危害程度為高危（Critical）。當用戶使用帶有 XStream 程序的 Struts REST 插件來處理 XML payloads 時，可能會遭到遠程代碼執行攻擊。

受影響版本：Apache Struts Version：2.3.33、Apache Struts Version：Struts 2.5 – Struts 2.5.12

解決方法：1、升級Struts到2.5.13最新版本；2、如果系統沒有使用Struts REST插件，那麼可以直接刪除Struts REST插件，或者在配置文件中加入如下代碼，限制服務端文件的擴展名<constant name=」struts.action.extension」 value=」xhtml,,json」 />

來源：https://www.seebug.org/vuldb/ssvid-96425

推薦閱讀：