BUF早餐铺 | ZipperDown漏洞影响10% iOS软件;谷歌修复导致数百万网页游戏崩溃的Chrome漏洞;美国参议院投票支持保留《网络中立法》 – 作者:Akane

各位 Buffer 早上好,今天是 2018 年 5 月 18 日星期五,农历四月初四。今天的 BUF 早餐内容主要有:ZipperDown漏洞影响10% iOS软件;谷歌修复导致数百万网页游戏崩溃的Chrome漏洞;美国参议院投票支持保留《网络中立法》;人民日报批移动搜索乱象:个人信息被用于精准欺诈;知情人士透露剑桥分析将数据分享给俄罗斯情报机构。

安全资讯早知道,两分钟听完最新安全快讯~

【应用安全】

ZipperDown漏洞影响10% iOS软件 

盘古安全团队研究员本周早些时候表示,他们发现了一种影响10% iOS应用程序的漏洞(ZipperDown)。据称,ZipperDown漏洞是“一种常见的编程错误,会造成数据覆盖等严重后果,甚至导致任意代码执行。”

ZipperDown.png

盘古团队表示,他们创建了一个自动扫描规则在iOS应用库中检索ZipperDown。在扫描的168,951个iOS App中,有15978个受到了ZipperDown漏洞的影响,占比高达10%,其中也包括QQ音乐、微博、QQ空间、快手、微信读书等国人常用应用。

TIM截图20180515200241.png 

除iOS大规模中招以外,Android App也未幸免于难,盘古团队也将继续发布更多相关细节。

好消息是,利用ZipperDown并不像其他漏洞那样直截了当,攻击者必须处于网络中才能劫持或欺骗设备流量。此外,iOS和Android上的沙盒也可以有效限制ZipperDown漏洞。

[来源:bleepingcomputer]

【Web安全】

谷歌修复导致数百万网页游戏崩溃的Chrome漏洞

Google昨天发布了一项Chrome更新,该更新修复一个导致数百万网页游戏崩溃的漏洞,该漏洞会导致各种神奇的报错,其中一些会使游戏无法播放音频文件。

GoogleChrome.png

这个漏洞是在4月中旬的Chrome 66版本被发现的。该版本的一大特点是它能够阻止带有自动播放音频的网页,虽然该功能是针对带有广告及自动播放视频的页面,但它显然具有的副作用,会导致HTML5和基于JS的网页游戏强制静音。

今天发布的Chrome for Desktop v66.0.3359.181已经解决了这个问题,但据说只是暂时的。外媒联系了Google询问更多细节,下面是Google工程师对此漏洞的评论。

我们已更新Chrome 66以临时删除Web Audio API的自动播放策略。此更新不会影响网络上的大多数媒体播放器,因为自动播放策略对<视频>和<音频>仍然有效。我们这样做是为了让Web Audio API开发人员(例如游戏、音频应用和一些RTC功能)有更多时间来更新他们的代码。

该策略将于Chrome 70(10月)中重新应用于Web Audio API。 开发人员可以根据以下建议更新代码:https://developers.google.com/web/updates/2017/09/autoplay-policy-changes#webaudio

来源:[bleepingcomputer]

【网络安全】

美国参议院投票支持保留《网络中立法》

美国参议院周三以52比47票通过了保留《网络中立法》的提案,该法案旨在要求所有网络数据得到平等对待,是美国实施互联网监管长达数年之久的重要一步。这次投票标志着过去数十年中关于访问规则争议的新动向,不过,要真正保住《网络中立法》,仍然面临不少挑战。

676410e2affea66_size25_w530_h298.jpg

许多政客们认为,网络中立法问题将刺激年轻人积极参加2018年的国会选举投票。调查显示,公众普遍反对废除该法案。

让我们像对待公共利益一样对待互联网。我们不允许水务公司或电信运营商歧视用户,我们不会限制人们进入州际高速公路,说你可以进,而他不能进。所以,我们也应当这样对待互联网。

参议院民主党领袖Chuck Schumer说道。

但相应的,代表宽带运营商的美国电信则对此表示失望。

这次投票打破了我们维持一个开放、繁荣的互联网的共同目标。消费者希望获得永久性、全面的在线保护,而不是国会代表的半年或选举年措施。

[来源:securityweek]

【数据安全】

知情人士透露剑桥分析将数据分享给俄罗斯情报机构

因社交巨头Facebook大规模用户数据泄漏事件而臭名昭著的剑桥分析(Cambridge Analytica)公司,近日正面临来自美国司法部和联邦调查局(FBI)的调查,调查缘由或与其涉嫌操纵2016年美国总统大选有关。

WX20180517-151608@2x.png

5月16日,该公司前员工Christopher Wylie出席美国国会听证会,听证会对剑桥分析对2016年美国大选造成影响以及如何使用脸书的数据进行了讨论。

据悉,Wylie告诉专家组,俄罗斯裔美国研究员Aleksandr Kogan创建了一份收集Facebook用户档案数据的应用程序,同时在俄罗斯资助的项目上开展工作,其中包括“行为研究”。

这意味着,除了Facebook的个人数据在俄罗斯被传播以外,剑桥分析公司也很可能是俄罗斯安全部门的情报目标,且俄罗斯安全部门可能早已被告知剑桥分析保存的Facebook数据。

Wylie在他的书面证词中说。

此外,听证会上另一名举报人提到,在英国投票决定退出欧盟的决议前,英国人的个人数据也可能被泄露并滥用。

[来源:securityweek]

【国内资讯】

人民日报批移动搜索乱象:个人信息被用于精准欺诈

据悉,人民日报记者在手机端下载几个知名移动搜索APP,先后在这些APP和部分内置浏览器的搜索栏输入“胸闷”一词,发现搜索结果的前几条甚至首页均被医院广告占领,广告打着“中医品牌”“名师诊疗”的标签,来院路线、坐诊专家、咨询电话等信息一应俱全,严重“霸屏”。此外,北京一位网友反映,前阵子在淘宝搜索了一个产品,接着就在其他搜索端被推送了相关产品的广告,“贴心”服务不贴心,不同应用场景中留下的数据被“通用”了。

timg.jpeg

与PC端不同,手机端集合了大量个人数据,各种垂直类平台的发展也使用户分散在不同平台,尤其是医疗、教育、招聘、生活类信息搜索中涉及不少个人敏感信息,容易被不法分子搜集进而实施精准欺诈或广告轰炸,成为移动搜索泄露信息的高发区。

据悉,百度近日已对公司全线产品进行了隐私现状排查及优化,组建了专门的用户隐私治理小组,平台去年累计处理20.8万个“涉嫌窃取用户隐私”的恶意网站;饿了么建立完善的账户风控体系,外卖平台及物流系统都已通过公安部《信息系统安全等级保护》评估认证,并加强对员工用户隐私安全的培训; 5月《信息安全技术个人信息安全规范》实施后,知乎将根据要求继续升级相关保护机制……

专家表示,个人信息的保护需要国家相关监管部门、互联网应用服务商、用户三位一体、形成合力。平台要恪守规范、把好内容、增强自律,用户也要不断提升自我保护意识和能力。

[来源:cnBeta]

*本文由Akane编译整理,转载请注明来自FreeBuf.COM

来源:freebuf.com 2018-05-18 07:00:48 by: Akane

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论