火絨安全周報：新版macOS以明文存儲密碼 微軟Meltdown補丁引發更大安全漏洞

1、macOS新版系統以明文存儲外部 APFS 驅動密碼

近日有安全專家發布報告稱，新版 macOS系統（High Sierra） 以明文形式記錄 APFS 格式化外部驅動器的密碼，並將此信息存儲在非易失性（磁碟上）日誌文件中。攻擊者可以利用這個漏洞輕易獲取加密 APFS 外部驅動的密碼。

這個漏洞違反了所有已經確立的 Apple 開發和安全規則，即應用程序和實用程序應該使用 Keychain 應用程序來存儲有價值的信息，並且應該明確避免以明文形式存儲密碼。

目前，macOS High Sierra 的 10.13 版本到 10.13.3 版本都受影響。蘋果尚未發布補丁。

來源：http://www.freebuf.com/news/166723.html

2、微軟Meltdown補丁引發更大安全漏洞

微軟此前已經向所有支持的 Windows 系統發布安全更新，用於解決英特爾處理器中的熔斷漏洞。不過現在有研究人員發現這些更新帶來了新問題：更新中存在新漏洞，允許任意進程讀寫任意內核內存位置。該更新帶來的新漏洞影響64位版的Windows 7 以及Windows

不過微軟已在3月份的例行安全更新中對該漏洞進行修復，因此保持更新的用戶不必擔心。建議此前已經安裝熔斷和幽靈漏洞修復更新，但是還沒有安裝最新更新的用戶儘快更新補丁。

來源：https://www.landiannews.com/archives/45896.html

3、波音遭遇勒索軟體攻擊， WannaCry 成為最大懷疑對象

本周三，波音公司遭遇了勒索病毒攻擊，

但隨後波音在 Twitter 上發表聲明說，根據波音網路安全運營中心的檢測，勒索病毒的入侵僅影響到少數系統，並且安全人員也已經採取了補救措施。

目前，波音公司遭受的勒索病毒還沒有被 100％ 確認為 WannaCry，安全人員猜測它也有可能只是 WannaCry 的模仿版。

來源：http://hackernews.cc/archives/22084

4、研究人員發現門羅幣的設計缺陷可被用於追蹤交易者

比特幣等虛擬貨幣的交易數據是公開的，但門羅幣只有交易雙方才可以查看交易數據。這種獨特的設計讓很多違法者放心的使用門羅幣進行交易，不過近日有研究顯示門羅幣的匿名和安全性並沒有那麼高，門羅幣的底層設計本身存在缺陷，該缺陷可以被用來提取個人的交易行為，在2017年2月份門羅幣修改代碼之前的所有交易均可被提取。

雖然現在研究人員和門羅幣開發社區都已經知道這個問題，但以前的區塊數據既然已經保存就不再允許篡改。因此無論是多久之後，只要有人願意的話依然可以從舊的區塊數據中提取交易數據。

來源：https://www.landiannews.com/archives/45917.html

5、iOS 11相機二維碼識別功能存在漏洞可被用來釣魚

為方便用戶掃描二維碼，蘋果自iOS 11版開始在相機應用里內置識別二維碼功能，無需用戶使用其他應用掃描。不過有研究人員發現其內置的解碼器存在漏洞，通過實驗證實該漏洞可導致相機顯示的地址與瀏覽器打開的地址不同。

研究人員隨後將該漏洞上報給蘋果，但蘋果至今未修復漏洞。按行業慣例來看超過 90 天仍然未修復漏洞那麼安全人員就可以公布漏洞細節，如今這個漏洞已經超過90天。該研究人員已經公布了製作這類欺騙性網址的方法。

來源：https://www.landiannews.com/archives/45905.html