1、国外黑客发现了 iOS 12.1 一个新的密码绕过漏洞
据外媒报道,就在苹果为iOS 12发布了安全补丁几个小时后,国外一位黑客便在iOS 12.1中又发现了一个漏洞,即可以在绕过密码的情况下使用群组FaceTime访问联系人列表。另外,在访问联系人列表之后,用户还能通过使用iOS 3D Touch功能查看地址簿的每一位联系人的额外信息,并且还能发起新的通话。
该黑客还表示,他发现这个新的密码绕过漏洞可以在所有支持苹果群组FaceTime功能的iPhone机型上使用。不过他也指出,若想要解决掉这个漏洞则可以通过关闭Siri在主屏幕上使用功能就可以。
2、Mac恶意软件通过拦截加密流量进行广告注入
上周,某安全研究人员发现了一款Mac恶意软件,它会进行一些恶意活动,比如拦截加密的网络流量来注入广告 。恶意软件使用证书作为获取https通信访问权限的第一步,https通信通常在浏览器和网站之间加密,其他软件无法查看。接下来,恶意软件安装了一个名为mitmproxy的开源程序。根据mitmproxy网站的说法,该软件"可用于拦截、检查、修改和重放web通信"。
乍一看,这个广告软件似乎没什么害处,因为它只是注入了一个弹出广告的脚本。不过,不能只看外表。由于该脚本是从服务器加载的,因此可以随时更改该服务器的内容。该软件可以从只弹出广告,发展到虹吸用户数据或将用户重定向到钓鱼网站。
3、Word漏洞可能允许黑客感染您的计算机
有安全研究人员称,Microsoft Office 2016和旧版本中存在未修补的逻辑缺陷,可能允许攻击者将恶意代码嵌入文档文件中,使用户在其计算机上运行恶意软件。该漏洞利用Word文档中的" 在线视频 "功能,该功能允许用户嵌入在线视频。当用户将在线视频链接添加到Word文档时,在线视频功能会自动生成HTML嵌入脚本。在微软拒绝承认报告的问题是一个安全漏洞三个月后, 研究人员决定公开他们的调查结果。
4、Radisson (丽笙)酒店集团用户数据泄露
近日,Radisson(丽笙)酒店发生数据泄露事件,泄露数据包括会员姓名、国籍、电子邮件地址、电话号码、所属公司名称等。数据泄露最早发生在 9 月 11 日,但直到 10 月 1 日,其 IT 员工才发现此事。当地时间 10 月 30 日,Radisson 发布声明称,此次数据泄露事件仅影响其约 10% 的会员账户,无任何用户信用卡信息或密码信息被泄露。截至目前,所有泄露数据已得到保护,Radisson 已邮件通知受影响会员注意账户安全。
5、国家市场监管总局监测建议:应停用智能门锁人脸识别功能
近期,市场监管总局组织开展了智能门锁质量安全风险监测,结果发现智能门锁产品在远程开锁和人脸识别方面风险较高,在感应卡识别开锁方面隐患较多,另外在密码逻辑安全、抗电磁干扰、指纹识别等方面程度不同地也存在隐患。建议消费者尽量不使用或关闭人脸识别功能和远程开锁功能。
閱讀更多 火絨安全實驗室 的文章
