Google 工程师发现 IE 中存在一个漏洞，攻击者可以通过漏洞完全控制受害操作系统。 据分析，这是一个脚本引擎内存损坏漏洞，影响所有受支持 Windows 上的 IE，包括 Windows 10 1809。该漏洞由 Google 威胁分析组的 Clement Lecigne 发现并报告给微软。微软表示，在被公开披露之前，该漏洞已经被利用。目前漏洞已经被收录为 CVE-2018-8653。 “脚本引擎处理 IE 内存对象的方式中存在一个远程执行代码漏洞，该漏洞让攻击者可以在当前用户的上下文中执行任意代码破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限”，微软解释：“如果当前用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以控制受影响的系统。然后攻击者可以安装程序，查看、更改或删除数据，或创建具有完全用户权限的新帐户。” 微软已经使用最新的 Windows 10 累积更新修复了该漏洞，并且还针对 Windows 7 和 Windows 8.1 发布了安全补丁 KB4483187。   稿源：开源中国，封面源自网络；

据美国科技媒体 ZDNet 报道，腾讯 Blade 安全团队发现的一个 SQLite 漏洞可以让黑客在受害者的电脑上远程运行恶意代码，还会导致程序内存泄露或程序崩溃。由于 SQLite 被嵌入到数千款应用中，因此这个漏洞会影响许多软件，范围涵盖物联网设备和桌面软件，甚至包括网络浏览器到 Android 和 iOS 应用。 访问: 腾讯云 并且只要浏览器支持 SQLite 和 Web SQL API，从而将破解代码转变成常规的 SQL 语法，黑客便可在用户访问网页时对其加以利用。 火狐和 Edge 并不支持这种 API，但基于 Chromium 的开源浏览器都支持这种 API。也就是说，谷歌 Chrome、Vivaldi、Opera 和 Brave 都会受到影响。 不光网络浏览器会遭受攻击，其他应用也会受到影响。例如，Google Home 就面临安全威胁。腾讯 Blade 团队在本周的报告中写道：“我们借助这个漏洞成功利用了 Google Home。” 腾讯 Blade 研究人员表示，他们曾在今年秋初向 SQLite 团队报告过这个问题，12 月 1 日已经通过 SQLite 3.26.0 发送了补丁。上周发布的谷歌 Chrome 71 也已经修补该漏洞。 Vivaldi 和 Brave 等基于 Chromium 的浏览器都采用最新版本的 Chromium，但 Opera 仍在运行较老版本的 Chromium，因此仍会受到影响。 虽然并不支持 Web SQL，但火狐也会受到这个漏洞的影响，原因在于他们使用了可以在本地访问的 SQLite 数据库，因此本地攻击者也可以使用这个漏洞执行代码。 Check Point 研究员艾亚尔·伊特金（Eyal Itkin）也指出，该漏洞还需要攻击者能够发出任意的 SQL 指令，从而破坏数据库并触发漏洞，因而会大幅减少受影响的漏洞数量。 但即使 SQLite 团队发布补丁，很多应用仍会在今后几年面临威胁。原因在于：升级所有桌面、移动或网页应用的底层数据库引擎是个危险的过程，经常导致数据损坏，所以多数程序员都会尽可能向后推迟。 也正因如此，腾讯 Blade 团队在发布概念验证攻击代码时会尽可能保持谨慎。       稿源：，稿件以及封面源自网络；

Adobe近期修复了存在于Flash Player的类型混乱安全漏洞，潜在攻击者可以利用该漏洞执行任意代码。Adobe表示Flash Player 31.0.0.148以及此前版本，Windows、macOS和Linux系统均受影响。该漏洞编号为CVE-2018-15981，被Adobe评为关键漏洞，攻击者可以在用户不知情的情况下执行各种恶意代码。 正如Common Weakness Enumeration平台所详述的，当“程序使用一种类型进行分配或者初始化资源（例如指针、对象或者变量），稍后使用与原始类型不兼容的类型访问该资源时，会出现类型混淆错误。”该错误是由处理恶意制作的.swf文件时触发的类型混淆错误引起的，这些文件可能使攻击者能够使用当前用户的系统权限在目标系统上执行任意代码。 对此，Adobe建议所有平台上的Flash Player应该尽快升级至31.0.0.153版本，以降低风险。   稿源：cnBeta，封面源自网络；

讯 北京时间11月22日上午消息，据报道，美国邮政局（USPS）周三发布补丁修补了一个API漏洞。该漏洞可允许任何拥有USPS.com账户的人查看其他用户账户，大约有6000万美国邮政用户受该安全漏洞影响。 根据Kerbs on Security的报道，这个漏洞在一年前由一名独立的安全研究员首次发现，该研究员随后告知了美国邮政局，然而从未获得任何回复，直到上周Krebs以该研究员名义联系了美国邮政局。 受影响API是美国邮政局“Informed Visibility”项目的一部分，该项目旨在帮助批量邮件发件人能够以近乎实时的方式获得跟踪数据。然而问题在于，任何登录了系统并且对在Web浏览器控制台中修改参数有基本了解的人，在该API的“帮助下”，都可利用任何数量的“通配符”搜索参数获取其他用户的大量数据：从用户名、账号到实际地址和联系方式等等。 随后美国邮政局发布了一份声明，称目前为止他们并未发现该漏洞为人利用以获取用户信息。邮政局在获得此漏洞消息后将竭力修复漏洞减轻其影响。   稿源：，稿件以及封面源自网络；

讯 北京时间11月19日早间消息，据美国科技媒体The Information报道，Facebook旗下的Instagram可能出现用户密码泄露事件，原因与帮助用户下载数据副本的工具有关。 Facebook称，Instagram用户如果有意利用相关工具下载数据副本，帐号密码可能会以明码形式在URL中出现。出于某种原因，密码同时会存储到Facebook服务器。但Facebook告知用户，相关数据已经删除，工具也已经更新，不会再出现类似问题。 Facebook关于下载数据副本的帮助页面 Facebook新闻发言人称，只有少数用户受到影响，如果用户在共享电脑上使用服务，或者网络存在缺陷，帐号信息可能会泄露。如果用户没有收到通知，那就说明用户没有受到影响。 不过美国科技媒体Engadget指出，这一安全漏洞仍然让人担忧，毕竟密码相当重要。且在不久之前，Facebook因为“View As”工具出现泄密事故。   稿源：，稿件以及封面源自网络；

援引Zero Day Initiative网站更新的博文内容，近日在东京举办的Mobile Pwn2Own大赛中Richard Zhu和Amat Cama两位白帽黑客成功找到了iPhone上的漏洞，最终获得了6万美元（约合41.53万人民币）的奖金。在现场演示中，运行iOS 12.1系统的iPhone X在连接恶意WiFi后，利用just-in-time (JIT) 编译漏洞通过Safari成功访问已经删除的照片。 Tokyo Hot OP 视频：https://v.qq.com/x/page/z079328eui5.html Pwn2Own Tokyo 2018 视频：https://v.qq.com/x/page/d07931axnfl.html 两位白帽还发现利用该漏洞，不仅能够访问已经删除的照片还能访问其他文件内容。而删除的照片恰好只是演示过程中遇到的首个文件夹而已。在随后的演示过程中，两位白帽使用网页浏览器中的JIT漏洞的组合BUG进行沙盒逃逸和提权。本次演示让他们获得了6万美元的奖励，并获得了10个Pwn积分。在首日大赛活动中，他们斩获了14万美元的奖金，并以31分的成绩位居Master of Pwn榜首。   稿源：cnBeta，封面源自网络；  

今年 5 月的时候，安全公司 Imperva 曝光了 Facebook 的一个 bug，其导致第三方网站可以读取毫无戒心的 Facebook 用户（及其好友）的私人信息。万幸的是，该漏洞现已被成功修复。此前，安全研究员 Ron Masas 发现了 Facebook 的跨站请求伪造（CSRF）漏洞，意味着另一个网站可以通过代码查询的方式，接触到 Facebook 的用户数据。 视频截图 为了利用该漏洞，站点可以嵌入 iFrame（站点内的站点）来“吸取”用户的数据： 当已登录的 Facebook 用户访问带有恶意代码的，并在任意位置点击时触发脚本。 其通过向该社交网络发送查询来收集用户数据，例如‘用户是否喜欢跑步？’、或‘是否有朋友在加拿大？’ 据悉，Masas 是在研究 Chrome 漏洞时发现的 Facebook bug，攻击者可借此窃取 Facebook 用户的私人信息。 可怕的是，即便设置了仅对自己可见，其好友的数据仍可能被这只黑爪给触及。比如通过更加复杂的查询，就可以找到有关某人的宗教信仰、或生活在特定区域的朋友圈等信息。 Facebook Proof of Concept（via） 对于此事，Facebook 发言人在致外媒 TechCrunch 的回复中写到： 感谢这位安全研究人员对我司 bug 赏金计划的支持，报告中的行为并非特定于 Facebook，但我们的用户数据没有丢失。 我们已经向浏览器制造商和相关 Web 标准组提出了建议，鼓励它们采取措施防止此类问题在其它 Web 应用上发生。 据悉，Facebook 向 Masas 发放了两份单独的赏金，总额为 8000 美元。   稿源：cnBeta，封面源自网络；

RIPS Technologies 本周指出，WordPress 在权限处理方面的设计漏洞加上 WooCommerce 的文件删除漏洞，将允许黑客扩展权限，控制整个 WordPress 站点并执行远程程序攻击。 WordPress 和 WooCommerce 都是 Automattic 开发的产品。 WordPress 是一个开源内容管理系统（CMS），在 CMS 市场中占有 60％ 的市场份额。WooCommerce，它是一个免费的电子商务插件，全球有超过400万的安装，并有 30％ 的在线商店使用该插件。 RIPS 安全研究员 Simon Scannell 指出，WooCommerce 包含一个文件删除漏洞，允许商店经理（Shop Manager）删除服务器上的任何文件。 此类漏洞顶多是删除站点上的 index.php 文件并导致服务阻塞，但如果碰上 WordPress 权限处理漏洞时，可以使黑客控制整个站点。 WooCommerce 提供三种角色权限，即客户，商店经理和管理员。 商店经理主要负责管理客户，产品和订单。 在 WooCommerce 设置商店经理的角色后，WordPress 为其提供了 edit_users 的功能，并且此角色存储在 WordPress 存储库中，但 edit_users 的默认值可以编辑所有用户数据，包括管理员。 为了防止商店经理更改管理员数据，每当调用 edit_users 时，WooCommerce 就会添加元数据以限制 edit_users 的能力。 它只允许修改客户或产品数据，而不得编辑管理员数据。 但是，黑客或拥有商店经理权限的人可以使用 WooCommerce 的文件删除漏洞直接删除 WooCommerce；当 WooCommerce 关闭时，WordPress 不会删除商店经理的许可，同时 WooCommerce 对该权限所设置的限制也会失效，这时商店经理可以修改管理员数据，获得系统的管理权限，直接接管整个网站，并执行任何程序。   稿源：开源中国，封面源自网络；

加州大学河滨分校的研究人员，发现了三种可能被黑客利用 GPU、来攻破用户安全与隐私防线的方法。这些技术可用于监视浏览器活动、窃取密码、以及向基于云端的应用程序发起攻击。研究报道中描述的第一项，指出了 GPU 旁路攻击导致的渲染不安全：“计算机科学家们认为这是可行的，并且描述了他们如何通过对 Nvidia GPU 进行反向工程，将图形渲染和计算机堆栈都拉下水”。 英伟达发布的新卡皇（图自：Nvidia 官网） 论文原标题为《渲染也不安全：计算机旁路攻击是可行的》（Rendered Insecure: GPU Side Channel Attacks are Practical）。其声称，这是人们首次成功地对 GPU 发起旁路攻击。 当然，执行这类攻击，也有着几项前提。首先，受害设备上必须被安装了间谍软件程序，这种恶意代码可以嵌入一个无害的应用程序。 其次，攻击者必须拥有可以分析 GPU 内存分配机制的机器学习方法。然后，间谍软件和机器学习程序才可以利用现有的图形 API（如 OpenGL 或 WebGL）发起攻击。 换言之，一旦用户打开了恶意应用程序，它就会调用 API 来分析 GPU 正在呈现的内容（比如网页信息）。GPU 的存储器和性能计数器被其所监视，并馈送给机器学习算法，以解释数据和创建的指纹。 加州大学河滨分校指出，鉴于渲染对象数量和尺寸的不同，每个网站在 GPU 内存利用率方面都会留下独特的痕迹。在多次加载同一个网站时，这个信号的样式几乎时一致的，而且不受缓存的影响。 研究人员称，通过这种‘网站指纹识别方法’，他们已经能够实现很高的识别准确率。借助这项技术，黑客可监控受害者的所有网络活动。 研究配图：旁路攻击解析 更糟糕的是，这一漏洞还允许攻击者从 GPU 数据中提取密码。 当用户键入密码字符时，整个文本框会被发送到 GPU 进行渲染。每一次的击键，都会发生这样的数据传递。 如此一来，凭借完善的密码学习技术，只需监控 GPU 内存中持续的分配事件、并参考间隔时间，理论上攻击者就可以做到这点。 论文中描述的第三种技术（攻击基于云端的应用程序），则比上述两种方法要复杂一些。攻击者可以在 GPU 上启动恶意的计算型工作负载，与受害者的应用程序一起运行。 根据神经网络的参数、缓存、内存、以及功能单元上（随时间而不同的）争用强度和模式，可以产生可测量的信息泄露。 攻击者在性能计数器的追踪上使用了基于机器学习的分类，以此提取受害者的私密神经网络结构，如深层神经网络特定层中的神经元数量。 万幸的是，在团队向 Nvidia 通报了他们的研究结果后，该公司表示将向系统管理员推出一个补丁，以便他们可以禁止从用户级进程访问性能计数器。 同时，研究团队还向 AMD 和英特尔安全团队通报了同样的事情，以便它们评估这些漏洞是否会在自家产品上被利用。   稿源：cnBeta，封面源自网络；

讯 北京时间10月31日上午消息，谷歌首次涉足智能显示器领域并且推出了Google Home Hub，产品得到大家的一致好评。然而，根据一项安全审查，事实情况可能有所不同。一位研究人员声称这项设备的安全性“令人大失所望”。当然，谷歌肯定是否认这些说法的。 Google Home Hub无法像JBL Link View、Lenovo Smart Display等其他智能助手显示器在安卓系统上运行，而是使用谷歌的Cast Platform。根据近期的一次采访，似乎是因为公司对于Cast Platform更加熟悉才做出此决定的。 研究人员杰里·甘布林（Jerry Gamblin）表示，这一决定就使得设备可能面临诸多安全隐患。根据他的研究，使用不安全的应用程序接口可以在一些情况下远程控制Home Hub。据此，甘布林能够利用command prompt命令让Google Home Hub重新启动。 “过去两个晚上，我一直在研究Google Home Hub的安全性，结果令人大失所望。通过（非正式）的应用程序接口，可以不经身份验证就能进行远程控制。” 这里提到的API是Google Home应用程序用于连接设备的。更重要的是，这已经不是新闻媒体第一次报道此“安全漏洞”了。今年早些时候出现了更为严重的安全问题，即它可以揭露Chromecast或Google Home设备的准确位置（精确到街道地址）。 在上一次被曝出安全漏洞之后，谷歌修补了此漏洞，但是其他问题似乎依然未去处理。无所畏惧的黑客和研究人员还在继续利用该应用程序接口存在的问题进行尝试。 谷歌对此发表声明：“所有的Google Home设备在设计时都将用户安全和隐私问题置于首位，设备采用了受硬件保护的启动机制，进而确保只有谷歌认证的代码可以在设备上使用。此外，任何携带用户信息的对话内容都经过了验证和加密。 最近有关于Google Home Hub安全性问题的言论都是不准确的。此声明中提到的应用程序接口是手机应用用于配置设备的，只有在这些应用与Google Home设备使用相同WiFi网络的情况下才可以进入。尽管此言论描述了一些问题，但没有证据表明用户信息存在风险。” 谷歌并未给出明确的判定，双方都有理可据。但谷歌声称该API是用于配置设备且不会透露个人信息时，这其实已经验证了我们在非官方文件中发现的事实。 甘布林提出了一个非常合理的观点，即该应用程序接口至少可以进行身份验证，而不必完全开放。这对谷歌来说可能是轻松就能修复的问题，但鉴于谷歌已经不是第一次因此应用程序接口而备受抨击了，想来事情也不会太快发生转变。   稿源：，稿件以及封面源自网络；