火絨安全周報：前員工黑進特斯拉內部 蘋果"快速查看"功能存安全漏洞

來自專欄火絨安全實驗室

1、特斯拉起訴前員工：黑進內部生產系統 盜取並泄露機密數據

6月21日，據美國內華達州聯邦法庭公布的訴訟文件顯示，特斯拉起訴了前技術人員。該員工承認曾開發惡意軟體進入特斯拉內部生產操作系統，偷取大量數據並交給第三方，還向媒體發表不實言論。這些被泄露的數據包括"數十份有關特斯拉的生產製造系統的機密照片和視頻"。

（消息來源：新浪科技）

2、蘋果電腦"快速查看"存在漏洞 或可泄密加密數據

本月初，安全研究員指出蘋果的"快速查看"功能存在安全漏洞，該機制可生產並緩存文件、圖像、文件夾和其他數據的縮略圖，以便macOS快捷訪問，這個功能允許Mac用戶快速通過敲擊空格鍵來預覽上述提及信息。

"快速查看"的緩存功能也適用於外部的USB驅動器，縮略圖保存在主機的啟動驅動器上。研究員進一步指出，儘管"快速查看"漏洞不會泄露給定文件的全部內容，但其提供的部分內容足夠為不法分子或機構利用。

在沒有官方補丁的情況下，擔心敏感數據可能會泄露的用戶可以在使用qlmanage實用程序卸載容器時選擇手動刪除"快速預覽"緩存。

（消息來源：新浪科技）

3、谷歌改口，將修復地理位置信息泄露問題

來自安全公司 Tripwire 的研究者表示，黑客只需在後台運行一個簡單的腳本，就能從谷歌Google Home 或 Chromecast 電視棒上，旗下兩款火爆產品中輕易獲取使用者地理位置。

安全人員表示："黑客完全可以進行遠程攻擊，只要能讓受害者連接在相同 Wi-Fi 或有線網路上的產品，打開一個鏈接就行。不過，這種攻擊方法有其局限性，因為這個至關重要的鏈接至少要開啟一分鐘以上，攻擊者才能拿到精確的地理位置信息。"谷歌方面表示，將在未來幾周內修復該產品的信息泄露問題。

（消息來源：雷鋒網）

4、前 CIA 僱員被指控向維基解密泄露黑客攻擊工具，可攻擊手機、計算機、電視

本周周一，前中央情報局僱員被指控竊取了國防信息，並向維基解密泄露了黑客工具。由起訴書可知，2016 年的時候，該僱員從一個 CIA 網路中竊取了機密信息，然後將之傳輸給了起訴書中未被確認的某個組織。維基解密將這批泄露信息稱作"七號金庫"（Vault 7），披露美國中央情報局藉助這些工具來入侵手機、計算機和電視。美國司法部官員稱，本次泄密事件讓美國國家安全處於危險境地。

（消息來源：cnBeta）

5、谷歌開發人員發現多款瀏覽器中存在嚴重漏洞：遠程竊取用戶信息

近日，谷歌研究人員在多款瀏覽器中發現了一個嚴重漏洞，可允許遠程攻擊者讀取用戶的Gmail或私人Facebook消息。

出於安全原因，現代網頁瀏覽器不允許網站向不同的域發出跨源請求，然而，當瀏覽器在獲取其他來源的媒體文件時，允許你訪問的網站無限制地載入來自不同域的音頻或視頻文件，存在極大安全隱患。目前，FireFox和Edge瀏覽器在其最新版本中已經修復了該漏洞。

（消息來源：thehackernews）