据外媒报道，就在苹果为iOS 12发布了安全补丁几个小时后，iOS狂热爱好者、黑客Jose Rodriguez在iOS 12.1中发现了又一个漏洞，即可以在绕过密码的情况下使用群组FaceTime访问联系人列表。正如Rodriguez在YouTube上上传的视频那样，用户可以通过接听电话或让Siri打电话然后切换到FaceTime上来利用密码绕过漏洞。 演示视频：https://player.youku.com/embed/XMzg5NTk5MDAyNA== 一旦切换到FaceTime状态下，即便设备还处于锁屏状态，用户只要进入右下角菜单并点击“添加联系人”之后就可以访问iPhone上的完整联系人列表。 另外，在访问联系人列表之后，用户还能通过使用iOS 3D Touch功能查看地址簿的每一位联系人的额外信息并且还能发起新的通话。 Rodriguez表示，他发现这个新的密码绕过漏洞可以在所有支持苹果群组FaceTime功能的iPhone机型上使用。不过他也指出，若想要解决掉这个漏洞则可以通过关闭Siri在主屏幕上使用功能就可以。   稿源：cnBeta，封面源自网络；

微软Windows最近麻烦不断，“bug 10”问题让人哭笑不得的同时，一个真正的威胁又出现了。新的0day漏洞已经被披露，会影响所有最近的Windows版本，包括Windows 10。用户名“SandboxEscaper”的研究人员在Twitter和GitHub上分享了概念证明（Proof of Concept），确认此漏洞存在。 根据研究人员的报告，最新的Windows零日漏洞影响了微软数据共享组件（dssvc.dll），这是一种在应用程序之间提供数据代理的本地服务。 该漏洞影响Windows操作系统，包括Windows 10（安装最新的被戏称为“bug 10”的2018年10月更新同样未能幸免），更重要的是，运行角色重要得多的Windows Server 2016，甚至是新的Server 2019也在受影响之列。 ACROS Security的联合创始人兼首席执行官Mitja Kolsek警告用户不要因为好奇而在生产环境中运行这个PoC，因为它会删除Windows文件并需要用户运行系统还原来修复它，最好的方法就是等待微软修补这个漏洞。   稿源：cnBeta，封面源自网络；

讯 10月24日下午消息，据中国台湾地区媒体报道，近日有用户在Google论坛、Reddit及Twitter反映Google News出现bug，在一天之内用掉数GB流量的情形，而Google目前还未做出回应。 今年9月，有用户反映他手机的Google News在后台运行，一夜之间就用了7.65GB流量，另一名用户在Twitter上贴出统计图，显示他的手机在9月29日晚上使用了高达11.55GB的移动流量，而在Google论坛上有用户反映甚至几个小时就被Google News吃了24GB的流量。 报道称，用户即使在设置中启动“使用WiFi下载”，但Google News仍会消耗移动数据。目前唯一的解决方法是关闭后台运行并彻底删除Google News。 期间，Google客服很早就回复Google相关部门已经在研究并着手修复，但直到本周问题依然存在。本周这问题先后由The Verge、ZDNet、Sun报导，而Google目前还未做出回应。   稿源：，稿件以及封面源自网络；

讯 北京时间10月24日早间消息，雅虎已经同意支付5000万美元的赔偿金，并向美国和以色列的约2亿名用户提供两年的免费信用监控服务，此前这些用户的电子邮件地址及其他个人信息在有史以来最大的安全漏洞案中被盗。 上述赔偿需在联邦法庭批准周一提交的和解协议后才会生效，这项和解协议是就一桩已经进行了两年的诉讼案而达成的，原告方要求雅虎为2013年到2014年间发生的数字窃案负责，该公司直到2016年才披露了用户数据被盗的信息。 在这桩窃案中，约30亿个雅虎账号被黑客盗取，其中包括与俄罗斯之间存在关联的一些黑客。上述和解协议是在旧金山法庭达成的，覆盖了约2亿名用户拥有的10亿个账号。 雅虎现在已是Verizon通信公司旗下子公司。   稿源：，稿件以及封面源自网络；

讯 北京时间10月22日早间消息，据美国科技媒体The Information援引知情人士消息称，Facebook上周日已与几家网络安全公司就潜在收购事宜进行接触，收购目标尚未最终确定，但交易结果或将在今年年底宣布。 美国科技媒体CNET对此评论称，在经历了历史上最重大的黑客攻击事件之后，Facebook希望它的数十亿用户知道平台已经准备投入网络安全领域。 在不到一个月前，Facebook发现了一个安全漏洞，黑客可利用这个漏洞控制用户帐号，这一事件催生了Facebook强化网络安全的最新举措。Facebook最初怀疑有多达5000万的用户帐号受到影响，但现在承认2900万用户的个人信息被泄露，包括电话号码、电子邮件地址和最近的搜索内容。 据《华尔街日报》报道，Facebook已经初步得出结论，假扮成数字营销公司的垃圾邮件制造者是造成大规模安全漏洞的幕后黑手。 Facebook已经表示正在与美国联邦调查局合作，后者要求该公司不要公开讨论谁是袭击的幕后主使，或者是否特别针对任何人。目前还没有理由认为这次黑客袭击与即将举行的美国中期选举有关。 受到袭击的安全漏洞源于Facebook平台“view as”功能中的一个漏洞，攻击者利用了与其相关的代码，窃取“访问令牌”，接管了一些用户的帐号。攻击者还使用了一种技术，从已被控制的帐号的朋友那里窃取访问令牌，从而扩大访问范围。 Facebook发言人拒绝就上述报道置评。   稿源：，稿件以及封面源自网络；

讯 北京时间10月22日早间消息，亚马逊近期修复了物联网操作系统FreeRTOS以及AWS连接模块的13个安全漏洞。这些漏洞可能导致入侵者破坏设备，泄露内存中的内容和远程运行代码，让攻击者获得设备完全的控制权。 如果没有修复，这些漏洞可能会造成严重影响。FreeRTOS，以及以安全为导向的类似产品SafeRTOS被广泛用在家庭内外的各种设备上，包括汽车、飞机和医疗设备。 根据FreeRTOS的开源协议，发现这些漏洞的Zimperium在漏洞披露的30天后才提供了技术细节。这将使相关厂商有机会去修复这些漏洞。 这类漏洞披露并不少见，但对亚马逊来说是相对较新的工作。一年前，即2017年11月，AWS接管了FreeRTOS的核心。这是对亚马逊问题应对能力的一次考验，而目前来看亚马逊似乎通过了考验。   稿源：，稿件以及封面源自网络；

甲骨文(Oracle)于本周进行了每季度的例行重要补丁更新(Critical Patch Update，CPU)，修复了 301 个安全漏洞，其中有 45 个被列为严重(Critical)等级，在 CVSS 漏洞评分系统上达到 9.8 分，最严重的 CVE-2018-2913 为 10 分。 本周的修复更新涉及到甲骨文旗下的十多款产品，覆盖了 E-Business Suite、Fusion Middleware、Oracle MySQL、Communications、Hospitality、Retail、Java SE 及 PeopleSoft 等。其中漏洞最多的产品为 Fusion Middleware，总共修复了 65 个相关漏洞。其他依次是 Oracle MySQL 的 38 个、Retail 的 31 个与 PeopleSoft 的 24 个。本次甲骨文只修复了 Java SE 上的 12 个漏洞，有 11 个可通过远程进行利用。这是甲骨文 2018 年的最后一次修复更新，也让今年漏洞的总修复量达到了 1119 个。 被列为最高优先级需要修复的漏洞是 CVE-2018-2913 —— 影响了 Oracle GoldenGate，Oracle GoldenGate 是业内成熟的数据容灾与复制产品，也是基于日志的结构化数据复制备份软件。该漏洞属于堆栈缓冲区溢出漏洞，允许未经授权的黑客通过远程进行入侵。相关安全人士指出，相关攻击并不复杂，再加上攻击活动可通过远程执行且不需凭证，黑客还可通过它入侵 GoldenGate，从而影响企业中的其它产品，让情况更加恶化，呼吁企业谨慎对待该漏洞。 还有安全人士指出，甲骨文本季度所修复的 Java 漏洞绝大多数都是针对 Java 8 及更早的版本，只有少数的修复是针对 Java 9，Java 10 与 Java 11；此外，尽管甲骨文即将要在明年 1 月终止对 Java 8 的公开支持，但有大量的企业应用仍在使用 Java 8，如果不升级的话，这些企业未来可能会因此而陷入困境。 最后，甲骨文还是一如继往地鼓励用户立即更新产品，以防黑客利用这些已被公开的安全漏洞。   稿源：开源中国，封面源自网络；

网易科技讯 10月12日消息，据美国媒体报道，周四美国参议院三位有影响力的共和党参议员提出，谷歌应该解释为何推迟公布Google+社交网络的漏洞。本周谷歌突然宣布关闭消费者版Google+并收紧数据共享政策，因为该网络存在的漏洞使至少50万用户私人资料曝光于数百个外部开发者。 参议院商务委员会主席约翰·图恩和另外两位参议员杰瑞·莫兰和罗杰·维克发出信函，要求谷歌解释推迟披露此问题的原因。信中称：“谷歌如果要保持或重获用户对其服务的信任，就必须在公众和立法者面前准备的更充分些。”对此，谷歌未立即发表评论。信函询问是否以前向哪个政府机构如FTC透露过漏洞，是否有“未公开披露的类似事件”。 谷歌CEO桑德·皮查伊上月同意今年11月在众议院作证，图恩表示，参议院也要求皮查伊作证。周三这些参议员写信给FTC要求对Google+进行调查。三位参议员称，他们对谷歌首席隐私官凯特·恩莱特未披露此问题“特别失望”。他们要求谷歌提交备忘录，没有及早披露问题可能“立即引起监管兴趣”，“几乎可以确定”皮查伊必须到国会作证。   稿源：网易科技，封面源自网络；

讯 北京时间10月10日晚间消息，Facebook旗下消息服务WhatsApp日前曝出一项安全漏洞，当用户接听视频呼叫时，黑客即可控制用户的这款应用。 谷歌研究人员特拉维斯·奥曼迪(Travis Ormandy)在今年8月底发现了该漏洞，影响Android和iOS版本的WhatsApp应用。由于Facebook已在本月初发布了补丁程序，并修复了该漏洞，奥曼迪才公开该漏洞。 奥曼迪在Twitter上称：“用户只要发送一个视频通话邀请，如果用户接听，即可完全控制其WhatsApp。” 目前，Facebook尚未对此发表评论，也不清楚该漏洞在修复之前是否被黑客利用过。 但今年，Facebook已经被安全相关的问题弄得焦头烂额。继今年3月份的8700万用户信息被非法共享事件后，Facebook上月底又宣布，Facebook的“View As”(访客视图)功能存在缺陷，允许黑客获取访问权限，从而控制用户账号，受该漏洞影响的账号数量高达5000万个。   稿源：，稿件以及封面源自网络；

10月9日，微软发布了2018年10月份的月度例行安全公告，并且发布了安全更新部署修复了多款产品的多项安全漏洞。在Windows 10的安全更新部署的修复中，重点提及了CVE-2018-8453 Win32k提权漏洞，今年8月份最初由卡巴斯基实验室观测到活动，并发现被APT组织FruityArmor用于攻击活动中的漏洞。 CVE-2018-8453漏洞在近日被APT组织FruityArmor用于攻击活动中，卡巴斯基实验室指出这一利用由高质量代码写成，影响目标可以包括尽可能多的微软Windows版本，包括Windows 10 RS4。 CVE-2018-8453 Win32k提权漏洞 CVE-2018-8453漏洞最初由卡巴斯基实验室观测到在野利用，经过后续研究发现其被APT组织FruityArmor用于攻击活动中，这也是该组织第三次利用0day漏洞（CVE-2016-3393、CVE-2018-5002 ）。不过此漏洞不能导致远程代码执行，只能用于感染机器后实现提权。   稿源：cnBeta，封面源自网络；