本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,fastjson被曝存“高危”远程代码执行漏洞;Apple ID登录漏洞,无需密码登录用户账号;全球最大黑客组织匿名者发布视频:揭露大量美国警局罪行;你的微信被监听?腾讯回应:不会监测用户聊天记录。想要了解详情,来看本周的BUF大事件吧!
观看视频
内容梗概
fastjson被曝存“高危”远程代码执行漏洞
近日,fastjson <= 1.2.68 版本被发现存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限,威胁等级:高危。该漏洞原理是,autotype 开关的限制可以被绕过,攻击者可以通过精心构造反序列化利用链,最终达成远程命令执行。漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。目前 fastjson 官方还未发布修复版本,使用者可以升级到最新版本1.2.69或者更新的1.2.70版本。
Apple ID登录漏洞,无需密码登录用户账号
最近苹果公司向印度漏洞研究人员Bhavuk Jain支付了10万美元的巨额赏金,以奖励他发现的iOS系统中“使用Apple登录”( Sign in with Apple)的高危漏洞。黑客可以利用该漏洞使用任何Apple ID登录进行账号劫持,攻击用户设备。去年,苹果宣布引入“使用Apple ID登录”功能,让用户自行选择是否与第三方应用程序共享Apple电子邮件 ID,攻击者可以伪造身份验证令牌来获取用户的访问权限。目前苹果已经修复了该漏洞,且尚未发现由此引发的用户数据泄露。
全球最大黑客组织匿名者发布视频:揭露大量美国警局罪行!
近日,美国警察暴力执法致黑人男子死亡事件不断升级,全球最大黑客组织匿名者(Anonymous)发布视频,公开指责美国警方有“可怕的暴力和腐败记录”。视频里说到:“乔治·弗洛伊德因暴力执法丧命,引发了全美的抗议游行活动。但是他的死亡只是冰山一角,将把其更多罪行揭露于世。视频在Facebook上被浏览了数百万次,“匿名者”话题登上推特热搜榜第二位。
你的微信被监听?腾讯回应:不会监测用户聊天记录
6 月 1 日,微信官方辟谣平台发文称,近日有短视频声称 “微信正在监听你的聊天记录”,并在视频中传授关闭诀窍。腾讯微信团队表示,聊天内容属于用户的通信秘密和个人隐私,微信不会监测用户的聊天记录,更不会通过监测用户聊天记录来推送广告。在这里给大家分享中国电信防止恶意软件监听技巧:1、查看后台隐藏应用;2、关注流量和电量使用情况;3、选择正规渠道下载应用;4、谨慎Root。
* 本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM
来源:freebuf.com 2020-06-07 12:35:15 by: willhuang
请登录后发表评论
注册