早在 1 月份，Google Project Zero 研究员 Tavis Ormandy 就透露了 BitTorrent 应用程序传输中的一个漏洞，并解释其他客户端也可能存在类似的问题。在本周的一份新报告中，Ormandy 在 uTorrent 中发现了类似的安全漏洞，这是目前最受欢迎的 BitTorrent 客户端之一。 这个问题在 11 月份向 BitTorrent 报告，但就像安全研究人员预测的那样，母公司未能在 90 天窗口中发布补丁，因此本周安全人员将漏洞细节公布在互联网上。 该漏洞存在于 Web 界面中，允许用户远程控制 BitTorrent 客户端，如果被利用，它可能使攻击者能够控制易受攻击的计算机。然而，软件的开发者表示，它已经准备好了一个补丁程序，该补丁程序是最新 beta 版本的一部分，根据 TorrentFreak 的一份报告，它预计将在本周尽快推向稳定渠道。 但事实证明，与 Ormandy 共享的修补程序只覆盖原始漏洞，而不能完全解决漏洞。看起来像 BitTorrent 只是给 uTorrent Web 添加了第二个令牌。这并没有解决 DNS 重新绑定问题。目前，BitTorrent 尚未提供更新的声明，以分享计划发布新补丁程序的方式和时间。 稿源：cnBeta，封面源自网络；

以苹果为中心的安全研究员Patrick Wardle发表了一篇博客文章,详细解析了他在Mac发现的一个隐形的称为“MaMi”的 DNS 劫持软件，会将流量转移到一些你不曾访问的恶意网站。Wardle还发现这个恶意软件还具有尚未激活的功能：可以窃取密码，截图，下载文件和程序，运行其他软件并注入虚假安全证书等等。 他推测这个恶意劫持软件和这几年发现的Mac恶意软件一样，是需要用户同意授权的，制作者往往会利用一些诱导性的按钮让用户在不知不觉中招，例如确认Flash Player更新等等，但是目前仅仅能猜测它的攻击方式，还不知道“MaMi”是如何感染Mac的。 目前尚不清楚“MaMi”究竟影响了多少Mac，如果你想要查看自己的Mac是否中毒，请打开系统偏好设置，点击网络，然后检查DNS服务器的IP地址。 如果它是“82.163.143.135”或“82.163.142.137”，那么你的Mac就有极有可能是被该软件感染后更改的，你需要将其改为良性的IP地址，比如Google的8.8.8.8或8.8.4.4或OpenDNS的208.67.2222.222或208.67.220.220来防止流量偷跑，然后使用杀毒软件彻底清查一遍电脑。 稿源：cnBeta、快科技，封面源自网络

IBM 、Global Cyber Alliance 和 Packet Clearing House 合作推出了免费的 Quad9 公共 DNS 服务（9.9.9.9），它将会屏蔽与僵尸网络、钓鱼攻击和其它恶意主机相关联的域名。 Quad9 的工作与其它免费的公共 DNS 相似，但不会返回已识别为恶意的域名解析。测试显示，Quad9 相比 Google 的 公共 DNS 服务 8.8.8.8，其响应延迟时间更长，但 Quad9 项目成员表示通过缓存和增加节点将有助于减少延迟。GCA 的 Phil Rettinger 称，Quad9 注重隐私保护，不会记录发出请求的地址，只保存地理位置数据，目的是为了跟踪特定恶意域名相关的请求。 稿源：Solidot，封面源自网络；

iTerm2 是一款颇受 Mac 开发人员欢迎的终端应用程序，甚至取代了苹果官方终端应用的地位。然而，研究人员首次于去年在 iTerm2  3.0.0 版本中发现一处鼠标悬停漏洞，即当用户将鼠标悬停在 iTerm2 终端的任何内容时，该程序将尝试确定字段是否存在有效 URL，并将其作为可点击链接突出显示。此外，为避免使用不准确的字符串模式匹配算法、创建不可用链接，该功能还使用了 DNS 请求确定域名是否真实存在。随后，iTerm2 开发人员立即升级应用至 3.0.13 版本，允许用户自行关闭 “ DNS 查询 ” 功能。不过，系统在默认情况下仍开启该功能权限。 9 月 19 日，HackerNews.cc 得到消息，荷兰开发人员 Peter van Dijk 指出，iTerm2 鼠标悬停漏洞除此前出现的问题外，还包括通过 DNS 请求泄露用户账号、密码、API 密钥等敏感信息。DNS 请求是明文通信，意味着任何能够拦截这些请求的用户都可访问 iTerm 终端中经过鼠标悬停的所有数据。 这一次，iTerm2 开发人员在了解问题的严重程度后深表歉意，并立即发布 iTerm2 3.1.1 版本解决问题。目前，研究人员提醒使用 iTerm2 旧版本的用户更新至最新版本，以确保自身隐私安全。如果用户更新至3.0.13 版本时，可通过相关步骤修改选项、确保系统安全。即打开 “ Preferences ⋙ Advanced ⋙ Semantic History ” 后将 “ Perform DNS lookups to check if URLs are valid? ” 选项改为 “ NO ” 。 原作者：Catalin Cimpanu，编译：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。