標籤:

火絨安全周報:IOS系統彈窗真假難辨 WPA2漏洞影響幾乎所有WiFi設備

1、小心了,別被偽造的 iOS 系統彈窗騙走 Apple ID

開發者 Felix Krause 發表博客稱 ,iOS 開發者要想創建 Apple ID 登陸窗口是非常容易的,不到 30 行代碼就可實現,而這一漏洞可能會被不法分子利用。這種仿冒的彈出窗口極具迷惑性,與 iOS 系統真正的窗口非常相似,僅通過外觀根本無法察覺出來。目前Felix Krause 已經將這個問題反饋給蘋果。

如何分辨真假:

只需要在窗口頁面按下 home 鍵,如果回到了主頁面,則表示之前的窗口是偽造的。真正的系統彈出窗口優先順序非常高,點擊 home 鍵是無法令其消失的。

火絨工程師同時建議大家,為自己的賬號開啟雙重認證,以進一步保護 Apple ID。

來源:小心了,別被偽造的 iOS 系統彈窗騙走 Apple ID

2、WPA2 安全協議被爆多個高危漏洞 幾乎涉及所有WiFi設備

近日,安全研究人員 Mathy Vanhoef在WPA2協議中發現多個安全漏洞,黑客通過KRACK攻擊可以藉助漏洞截獲電腦和無線路由器之間的網路流量。由於WPA2協議是幾乎所有路由器的默認安全加密方式,幾乎所有 WiFi 設備都會受到影響。需要注意的是,改變WiFi密碼無法預防此次攻擊,建議大家及時更新WiFi設備的補丁。國標WAPI無線認證暫不受該漏洞影響。

來源:WPA2安全協議驚現高危漏洞,幾乎涉及所有WiFi設備(附固件升級列表) - FreeBuf.COM | 關注黑客與極客

3、凱悅酒店集團客戶信息遭到泄露 中國受影響最嚴重

凱悅酒店集團近期證實,旗下 41 家酒店的支付系統已遭黑客入侵,美國、中國、墨西哥等 11 個國家的客戶數據遭到泄露。其中,中國受影響情況最為嚴重,有近一半受影響的酒店位於中國境內。客戶信息泄露內容包括持卡人姓名、卡號、到期時間以及內部驗證碼。

來源:凱悅酒店集團支付系統再遭黑客入侵,旗下 41 家酒店客戶信息在線泄露

4、熱門網站秘密利用訪客電腦挖礦 受影響用戶達5億

安全公司 Adguard 近期發表報告稱,超過 220 家熱門網站曾從Coinhive獲得挖掘加密貨幣的JS腳本,並在用戶電腦上試驗採礦,從而獲取巨額收益。網站無需花費太多資金就能進行此類行為,網頁內嵌入JS代碼後,只要用戶訪問網站,挖礦程序就會在用戶電腦中運行,佔據大量系統資源。據悉,目前共有 5 億用戶在不知情的情況下運行JS腳本、挖掘加密貨幣。

來源:逾 5 億用戶電腦曾執行網站 JS 採礦腳本,秘密挖掘加密貨幣

5、漏洞預警:WordPress存在一系列安全漏洞

2017年10月19日,WordPress 官方發布了一項安全更新,WordPress已經更新到4.8.2版本,修復了一系列漏洞。官方建議WordPress用戶儘快更新到最新版本。

受影響的版本:

WordPress 4.8.1及其之前版本

火絨工程師各用戶儘快更新自己的軟體版本,以防造成不必要的安全問題。

來源: 漏洞預警:WordPress存在一系列安全漏洞 - 嘶吼 RoarTalk - 回歸最本質的信息安全,互聯網安全新媒體,4hou.com


推薦閱讀:

火絨安全周報:Google Play商店發現山寨WhatsApp MantisTek GK2鍵盤內置記錄器
火絨安全警報:「2345聯盟」通過流氓軟體推廣挖礦工具 眾多用戶電腦淪為「肉雞」
火絨安全周報:Ins遭入侵600萬賬號被竊取 大部分PDF閱讀器存6年前老漏洞
完成1500萬元Pre-A輪融資 火絨為何牽手天融信?
火絨殺毒軟體怎麼樣?

TAG:火绒 |