援引Zero Day Initiative网站更新的博文内容，近日在东京举办的Mobile Pwn2Own大赛中Richard Zhu和Amat Cama两位白帽黑客成功找到了iPhone上的漏洞，最终获得了6万美元（约合41.53万人民币）的奖金。在现场演示中，运行iOS 12. Tokyo Hot OP 视频：https://v.qq.com/x/page/z079328eui5.html Pwn2Own Tokyo 2018 视频：https://v.qq.com/x/page/d07931axnfl.html...

今年 5 月的时候，安全公司 Imperva 曝光了 Facebook 的一个 bug，其导致第三方网站可以读取毫无戒心的 Facebook 用户（及其好友）的私人信息。万幸的是，该漏洞现已被成功修复。此前，安全研究员 Ron Masas 发现了 Facebook 的跨站请求伪造（CSRF）漏洞， 视频截图 为了利用该漏洞，站点可以嵌入 iFrame（站点内的站点）来“吸取”用户的数据：
当已登录的 Facebook 用户访问带有恶意代码的，并在任意位置点击时触发脚本。...

讯 11月14日下午消息，据中国台湾地区iThome.com.tw报道，英国非营利隐私保护组织Privacy International（PI）上周投诉包括甲骨文（Oracle）在内的7家企业违反《欧盟通用数据保护条例》（EU General Data Protection Regulation， 据报道，受到投诉的7家企业全都握有大量消费者资料，包括从事数据分析的甲骨文与Acxiom，提供广告服务的Criteo、Quantcast、Tapad，以及信用报告企业Equifax与Experian。...

讯 11月14日下午消息，据中国台湾地区iThome.com.tw报道，安全企业ESET的研究人员Lukas Stefanko本周揭露了一个在Google Play上安然存在11个月，直到近日才被Google移除。该恶意应用伪装成电话录音程序Simple Call Recorder， 在去年11月底登上Google Play的Simple Call Recorder约有5000次的安装次数，具备完整的电话录音功能，但主要目的却是要求使用者下载及安装一个伪装成Flash Player的更新应用，只是该更新应用实质上为恶意应用。...

Google 公布了史上第一份 Android 生态系统安全报告（Android Ecosystem Security Transparency Report），这是一份季报，内容来自于 Google Play Protect 所检测到的“可能存在危险的应用程序”（（Potentially Harm 之前，Google 会提供 Android 年度安全报告，其中包含Android 系统安全趋势、Google 提供的 Android 漏洞奖金，以及在 Android 上提供的保护机制等。而此次季度报告主要针对 PHA。...

本周二，拥有80多万粉丝的谷歌生产力工具G Suite官方推特账号被黑。在诈骗推文中谷歌将会向社区成员赠送10000个比特币，不过要求消费者先支付0.1至2个比特币，然后谷歌将会返还至少1个比特币，而且返还比例高达200%。在该条欺诈推文发布一小时后被删除。 谷歌并非唯一的受害者。今天早些时候，零售业巨头Target也遭到了类似的攻击。而在过去几周，印度的一家政府机构、一家总部位于澳大利亚的咨询公司以及部分政客的账户也成为此类攻击的受害者。 稿源：cnBeta，封面源自网络；

据外媒报道，来自世界各地50个国家和超150多家科技公司签署了一项名为《Paris call for trust and security in cyberspace》的承诺以表它们致力于打击网络犯罪行为的决心。获悉，法国总统马克龙在众领导人参加一战结束100周年纪念活动前一日公布了这份文件。 签署该文件的国家有日本、加拿大和所有欧盟国家，谷歌、微软、Facebook等国际科技巨头公司也表示将致力于打击网络犯罪。 虽然美国大量政府机构和官员近些年来表示国家经历了多起网络犯罪案件包括2016年总统大选干预等，但它并没有在这份文件上签字。另外，中国和俄罗斯也没有在这份文件上签字。...

▼ ▼ ▼...

RIPS Technologies 本周指出，WordPress 在权限处理方面的设计漏洞加上 WooCommerce 的文件删除漏洞，将允许黑客扩展权限，控制整个 WordPress 站点并执行远程程序攻击。
WordPress 和 WooCommerce 都是 Automattic 开发的产品。 RIPS 安全研究员 Simon Scannell 指出，WooCommerce 包含一个文件删除漏洞，允许商店经理（Shop Manager）删除服务器上的任何文件。 此类漏洞顶多是删除站点上的 index.php 文件并导致服务阻塞，但如果碰上 WordPress 权限处理漏洞时，...

据外媒报道，近日 nginx 被爆出存在安全问题，有可能会致使 1400 多万台服务器易遭受 DoS 攻击。而导致安全问题的漏洞存在于 HTTP/2 和 MP4 模块中。nginx Web 服务器于11月6日发布了新版本，用于修复影响 1.15.6, 1.14.1 之前版本的多个安全问题， “在 nginx HTTP/2 实现中发现了两个安全问题，这可能导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)”，详见 nginx 的安全建议。...