火絨安全周報:Ins遭入侵600萬賬號被竊取 大部分PDF閱讀器存6年前老漏洞

1、Instagram 因 API 漏洞遭入侵,600萬知名賬號信息被竊取並在 DoxaGram 上出售

上周,美國女星 Selena Gomez 的 Instagram 被黑,發布前男友 Justin Bieber 的裸照。隨後幾天,名為 Doxagram 的網站公開兜售 600 萬 Instagram 大 V賬號的郵箱地址和電話號碼等私密信息,運動名人、當紅明星、政治家、媒體都受到影響。有些外媒表示可能是黑客利用了

Instagram 網站的 API 漏洞,專門入侵知名度高的賬號,獲取郵箱地址和電話號碼等信息。

目前Instagram 已經確認公司遭到入侵,正在進一步調查。專家表示這個出售信息的

Doxagram 網站很可能就是由入侵 Instagram 的黑客創建的。

來源:freebuf.com/news/146511

2、6年的老漏洞」Loop Bug」重現,幾近全部PDF閱讀器中招

近日,德國軟體開發商HannoB?ck稱,一個早在2011年就被發現在PDF解析庫中的「loop」Bug,如今又在主流PDF閱讀器中出現。該Bug最初是由德國軟體開發商Andreas Bogk發現,會導致Evince應用程序進入死循環,迅速耗盡內存後崩潰。Chrome、Firefox、GitHub的PDF解析庫都受到影響。同時,開源PDF解析器(如Ghostscript和QPDF)、在Windows8或更高版本中默認安裝的Windows Runtime PDF Renderer庫或WinRT PDF也受影響。B?ck已向所有受影響的產品廠商報告了舊的錯誤信息,他們正準備為此推出補丁程序。

來源:freebuf.com/news/146633

3、被指預裝惡意軟體 聯想支付350萬美元與FTC和解

聯想從2014年開始在數十萬台筆記本電腦上預裝了軟體VisualDiscovery,美國聯邦貿易委員會(FTC)認為聯想在預裝軟體時侵犯了消費者的隱私,在沒有給出通知或獲得用戶同意的情況下就訪問消費者的敏感信息,稱該軟體能訪問消費者的社會保障號碼等敏感信息。

目前,聯想已經與FTC達成和解,聯想將支付350萬美元,並調整銷售筆記本電腦的方式,以換取FTC撤銷對其銷售預裝軟體的指控。

來源:cnbeta.com/articles/tec

4、主流語音助手都存漏洞 浙江大學發現DolphinAttack攻擊手段

最近,浙江大學的一個研究團隊發現,如今市場上的智能語音助手或多或少都存在一些安全漏洞,只要運用一個小技巧,就可以輕易控制它們。團隊把這個小技巧命名為「海豚攻擊」(The DolphinAttack),只要將特殊的語音指令轉換為類似海豚的超聲波,便可以在人類無法感知的情況下對智能語音助手下指令。這些聲音對於人耳來說是無法聽見的,但電子設備能聽到這些命令。在實驗過程中,研究人員成功的入侵了Google Assistant、蘋果的Siri、亞馬遜的Alexa、三星的S Voice、微軟的Cortana以及華為的HiVoice。研究人員不僅能夠「靜默」激活語音助手,而且還能執行撥打電話、打開網站、關閉飛行模式、通知綁定智能門鎖開門解鎖等命令。

來源:sohu.com/a/190500092_16

5、Struts2 REST 插件 XStream 遠程代碼執行漏洞 S2-052(CVE-2017-9805)

2017年9月5日,Apache Struts 發布最新安全公告。Apache Struts2 的 REST 插件存在遠程代碼執行的漏洞,其編號為 CVE-2017-9805 ,漏洞危害程度為高危(Critical)。當用戶使用帶有 XStream 程序的 Struts REST 插件來處理 XML payloads 時,可能會遭到遠程代碼執行攻擊。

受影響版本:Apache Struts Version:2.3.33、Apache Struts Version:Struts 2.5 – Struts 2.5.12

解決方法:1、升級Struts到2.5.13最新版本;2、如果系統沒有使用Struts REST插件,那麼可以直接刪除Struts REST插件,或者在配置文件中加入如下代碼,限制服務端文件的擴展名<constant name=」struts.action.extension」 value=」xhtml,,json」 />

來源:seebug.org/vuldb/ssvid-

推薦閱讀:

完成1500萬元Pre-A輪融資 火絨為何牽手天融信?
火絨殺毒軟體怎麼樣?

TAG:火绒 | 信息安全 | 漏洞 |