讯 2月26日下午消息，华为副董事长、轮值董事长郭平在2019 MWC主题演讲时表示，华为绝对没有、也从没有所谓的后门漏洞，更不会让任何人在基础设施上找漏洞，这是华为的责任。 郭平表示，5G时代，企业、运营商、技术提供商以及政府都应承担责任。作为技术提供商的华为而言，最大的责任是合规。此外，要在运营商的层面注重安全性，承诺的必须兑现。 “华为绝对没有，也从没有后门漏洞，不会让任何人在我们的基础设施上找漏洞，这是我们的责任”，郭平说，5G网络应该存在边界，监管者应该保证所有供应商的安全使用环境。 不仅如此，作为政府也必须要统一标准，“华为一直以来都支持维护3GPP标准，但如果没有政府部门的支持，一切都不可能实现。政府部门真正有权利，让标准得到统一和实行”。所以，政府和运营商应该一起努力，让网络更加安全。 “华为在过去13年都有非常好的安全历史，还有最好的技术，请大家选择华为”，郭平说道。 早些时候，郭平曾公开表示，华为在全球5G领域已取得领导地位，领先竞争对手整整一年。     （稿源：，稿件以及封面源自网络。）

在享誉全球成为必备装机软件的同时，过去19年以来WinRAR也深受各种严重安全漏洞的负面影响。根据安全公司Check Point研究人员披露的细节，在WinRAR的UNACEV2.dll代码库中发现严重安全漏洞，而该库自2005年以来就一直没有被主动使用过。WinRAR在打开“booby-trapped”（诡雷代码）文件之后允许技术娴熟的攻击者执行“任意恶意代码”。 简单来说，该漏洞允许安全专家绕过权限提升就能运行WinRAR，而且可以直接将恶意文件放进Windows系统的启动文件夹中。这就意味着当用户下次重新开机的时候，这些恶意文件就能自动运行，让安全专家“完全控制”受害者的计算机。安全专家表示，全球有超过5亿用户受到WinRAR漏洞影响。 Check Point表示WinRAR不再支持ACE存档格式（就是该漏洞的攻击文件），而且在上个月同时也删除了UNACEV2.dll文件。目前WinRAR发布了最新的测试版5.70 Beta 1,已经修复了这个问题。 不过值得注意的是，如果现在访问WinRAR的官方，点击下载的依然是5.61版本。而该版本目前尚未修复这个漏洞。因此你经常使用这款压缩软件，推荐通过本文下方的链接下载Beta版本。 下载：https://www.win-rar.com/affdownload/download.php     （稿源：cnBeta，封面源自网络。）

据美国科技媒体CNET援引安全研究组织Zimperium周二发布的研究报道称，小米型号为M365的电动滑板车存在漏洞，可能会让黑客远程控制该滑板车，比如导致滑板车突然加速或突然刹车。小米的这款滑板车于去年引入美国数个城市，为一些共享电动滑板车公司所用。Zimperium认为，问题出在滑板车的密码验证过程中，该验证通过蓝牙通信完成。 “在我们的研究过程中，我们认为，密码在验证过程中未被正确使用，所有命令都可以绕过密码执行，”Zimperium在声明中写道，“密码仅在应用端验证，但滑板车本身不跟踪身份验证状态。” 研究人员称，他们可以无需验证地与设备的防盗系统、导航系统和生态模式进行互动，并更新设备固件。 Zimperium还发布了一则概念验证，演示其应用扫描附近的小米滑板车后，通过他们的防盗功能禁用车辆。Zimperium称，应用对任何100米半径范围内的M365滑板车有效。 该漏洞进一步增加了人们对可出租电动滑板车的担忧。随着这些滑板车陆续出现在各大美国城市以及监管机构匆忙出台法律应对这一新的交通模式，围绕这一设备的争议越来越大。不少人认为，他们更愿意在拥堵的城市间骑着滑板车穿梭于各个街区。反对者认为，骑手通常无视交通规则，在人行道上行使，从而危害行人安全，并且随意停放车辆。 Zimperium发现的这个漏洞与2017年Segway悬浮滑板上发现的漏洞类似。IOActive发现，其可以通过向蓝牙更新手动向Segway发送命令远程方位悬浮滑板，完全无需身份验证。 Zimperium表示，其已经将该漏洞通知小米。小米暂未立即回复评论请求。     稿源：，稿件以及封面源自网络；

使用 WordPress 管理其网站的用户，很可能在其中一个插件中，找到近期曝光的那个安全漏洞。一名来自 WebARX 的安全研究人员，刚刚发现了“简易社交分享按钮”（Simple Social Buttons）插件的一个缺陷。该插件旨在方便网站管理员在文章、评论、或网站的其它部分，嵌入 Facebook 或 Twitter 等 SNS 平台的社交分享按钮。 然而最新曝光的漏洞，允许任何能够在上创建新账户的用户，利用它来访问“通常只有管理员才能解除的设置”。换言之，别有用心的攻击者，可以通过该插件来接管网站。 安全研究人员指出，截止目前，WPBrigade 简易社交分享按钮插件的下载量，早已超过 50 万次。WordPress 声称，其已被超过 4 万网站采用。 Simple Social Buttons Exploit PoC by WebARX：https://player.youku.com/embed/XNDA1NzY4NDAwNA== 这意味着平台上搭建的诸多网站，可能已经受到了该漏洞的影响。万幸的是，安全研究人员已于上周向 WordPress 汇报了这个问题，而官方在第二天就已经发布了更新。 当然，为了确保安全，请务必将该插件升级到最新的 2.0.22 版本。   稿源：cnBeta，封面源自网络；

两位研究人员发现了 iOS 12.1.2 中的新安全漏洞，且其影响新一代的全系列 iPhone 机型，包括 iPhone XS / XS Max 和 iPhone XR 。Min Zheng 和 Xialong Bai 在 Twitter 上披露了他们的工作细节，演示可通过“面向端口编程”（POP）攻击，获得所有 2018 年发布的 iPhone XS Max 的 root 访问权限。 该攻击可绕过 iPhone XS Max 上的 PAC 系统，不过同样的事情也可以在 XS 和 XR 上完成。 在攻破了 PAC 系统之后，安全研究人员能够更加容易地 iOS 12.1.2 的越狱工具，不过这件事情不会很快发生。 近年来，越来越多的用户发现，给 iOS 越狱的好日子，已经接近尾声了。发现操作系统漏洞的安全研究人员，极少会选择将其公之于众。 在大多数情况下，研究人员会直接向苹果汇报安全漏洞，然后该公司会在下一次 iOS 更新中修复，以确保 iPhone 的安全机制不被轻易突破。 与此同时，寻求越狱的 iPhone 用户数量，也出现了大幅减少 —— 特别是考虑到流程的高度复杂性、以及操作相关的风险。 尽管越狱确实能带来一系列好处，打苹果公司显然在坚持打一场不计代价的安全攻防战。 即便如此，这些发现仍为其他研究人员研究 A12 仿生芯片中的潜在漏洞（寻找越狱的其它小道）指明了新的方向。 毕竟到目前为止，苹果尚未推出过一款牢不可破的 iPhone 。   稿源：cnBeta，封面源自网络；

讯 北京时间1月15日上午消息，据彭博社报道，特斯拉近日表示，如果网络安全研究人员可以侵入特斯拉汽车并找到漏洞，那么公司可以给他们赠送一辆Model 3轿车。 网络安全公司趋势科技（Trend Micro）举办的的春季竞赛Pwn2Own Vancouver会邀请安全研究人员曝光网页浏览器以及企业软件中的漏洞。而今年首次在竞赛中新增了汽车类别，也就是特斯拉最新推出的Model 3。 特斯拉在2014年推出了悬赏寻找汽车软件漏洞的项目，将奖励那些发现并上报漏洞的研究人员。这种形式在科技行业非常普遍，但汽车领域却不常见。 由于越来越多的车辆会连接到互联网，这就使得它们很容易受到黑客攻击，所以这种悬赏项目会在汽车行业开始盛行。 “我们均是按照最高安全标准来研发车辆的，与安全研究社区的合作对我们来说非常重要。”特斯拉车辆软件副总裁大卫·刘（David Lau）在周一的声明中说道。   稿源：，稿件以及封面源自网络；

继去年12月10日爆出任意代码执行漏洞后，创宇盾网站安全舆情监测平台于近日发现ThinkPHP5再次出现任意代码执行漏洞。目前，已发现境外黑客对国内政府、企业等网站进行探测，请相关单位企业做好防御应急工作。 创宇盾安全专家于第一时间进行响应，经确认，知道创宇云安全旗下云防御平台创宇盾无须升级安全策略即可有效拦截利用该漏洞的攻击。 漏洞的综合评级为“高危” ThinkPHP 是一个快速、兼容而且简单的轻量级国产 PHP 开发框架。ThinkPHP 从诞生以来一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，也注重易用性。并且拥有众多原创功能和特性，在社区团队的积极参与下，在易用性、扩展性和性能方面不断优化和改进。 由于 ThinkPHP 框架对控制器名没有进行足够严格的检测，导致在没有开启强制路由的情况下，攻击者可以在服务端执行任意恶意代码。 影响版本 ThinkPHP 5.0.x – 5.0.23 安全建议 1. 及时更新 ThinkPHP 至最新版，以免遭受攻击； 2. 使用第三方防火墙进行防护(如创宇盾https://www.yunaq.com/cyd/)； 3. 进行技术业务咨询： 知道创宇技术业务咨询热线 : 400-060-9587(政府，国有企业) 028-68360638(互联网企业)   了解创宇盾详细信息：https://www.yunaq.com/cyd/

近日安全专家发现了新的Skype漏洞，允许用户在不输入解锁密码的情况下访问手机数据。目前Android端Skype已经确认受该漏洞影响，允许用户查看照片、联系人甚至是启动浏览器窗口。该漏洞最初由Florian Kunushevci发现，后者又向微软报告了这个漏洞。 Kunushevci表示该漏洞可以在不解锁手机的情况下，接通Skype来电之后能够访问照片、查看联系人、发送短信，甚至可以点击发送信息的URL链接打开网页。他在去年10月份向微软报告了这个问题，虽然微软官方并未发布关于该漏洞的声明，但是在Skype最新版本中已经修复该漏洞。 演示视频：https://player.youku.com/embed/XNDAwMDM2MjkzNg==   稿源：cnBeta，封面源自网络；

讯 北京时间12月29日上午消息，Twitter平台出现一个漏洞，由伦敦安全研究人员组成的团队说，利用漏洞，他们可以在无授权条件下通过英国名人、记者的账户发布消息。后来Twitter发声明称漏洞已经修复。不过发现漏洞的黑客却说，Twitter睁眼说瞎话，漏洞根本没有修复。 周五时，Twitter新闻发言人告诉记者，他们已经修复漏洞，通过漏洞，黑客可以瞄准与英国手机号码挂钩的特定账户，利用账户发送欺诈信息。然而，在Twitter发表声明之后，黑客仍然可以继续利用名人账户发送未授权信息。 媒体追问Twitter，公司回应称正在进行调查，以确保账户安全协议能够如预期一样生效。   稿源：，稿件以及封面源自网络；

Google Chrome 中发现了一种可能完全冻结 Windows 10 设备的新漏洞。新的错误被用于技术支持骗局，让 Windows 10 出现假死，然后告诉用户他们的设备被病毒感染。新发现的错误使用 Javascript 代码创建循环，这使得无法关闭选项卡或浏览器。该弹出窗口还声称来自官方微软支持网站并声称该电脑感染了病毒，这可能会危及用户的密码，浏览器历史记录，信用卡信息和其他数据。 由于它是一个循环，每次用户尝试关闭它时，它几乎会立即再次打开，并将你的资源使用率推到 100%，这将最终让电脑死机。虽然这看起来像是一个操作系统问题，但它只是一个骗局，用户可以通过以下步骤轻松修复电脑。 从任务栏打开任务管理器，转到“进程”选项卡，点击 Google Chrome（或GoogleChrome.exe） 单击右下角的“结束任务”按钮。此外，请确保您尚未将 Google Chrome 设置为还原旧标签，因为这会再次打开欺诈网站。避免技术支持骗局的一种好方法是在支付任何钱修复您的设备之前对对方信息进行仔细核实。 这不是第一次确定针对谷歌浏览器的技术支持骗局。今年早些时候，我们报道了一个下载炸弹漏洞利用主要针对主要的网络浏览器，只有微软边缘可以应对这次攻击。防止被骗的一个很好的规则是要记住，公司通常不会要求用户付钱，除非他们彻底检查了设备并发现了问题。     稿源：cnBeta.COM，封面源自网络；