各位Buffer早上好,今天是2019年5月31日星期五。今天的早餐铺内容主要有:未修复的漏洞将影响所有Docker版本;YouTube上出现大量与加密货币有关的视频,实为加速木马传播;缤客网订酒店被退单,信用卡遭多个国家国际盗;广东:校园学习类App不得随意征集学生家长信息;OnePlus 7 Pro指纹识别系统在五分钟内即可破解。
安全资讯早知道,三分钟听完最新安全快讯~
未修复的漏洞将影响所有Docker版本
所有版本的Docker目前都容易受到“竞态条件”的攻击,这种攻击手段可使攻击者对主机系统上的任何文件都具有读写访问权限,概念验证代码已经发布。该漏洞类似于CVE-2018-15664,它为黑客提供了一个窗口,可以指定的程序开始对资源进行操作之前修改资源路径,归属于时间检查(TOCTOU)类型的错误。
该漏洞的核心源于FollowSymlinkInScope功能,该功能易受TOCTOU攻击。该函数的目的是通过将进程视为Docker容器组件来以安全的方式解析指定的路径。解释路径的操作不会立即进行,它会“稍微延时后完成”。攻击者可以通过这个时间差修改路径,该路径最终会以root权限进行相关操作。[来源:bleepingcomputer]
YouTube上出现大量与加密货币有关的视频,实为加速木马传播
YouTube上正在进行诈骗和恶意软件宣传活动,该宣传活动使用视频宣传“比特币生成器”工具,该工具有望为其用户生成免费比特币。实际上,这个骗局正在推动Qulab信息窃取和剪贴板劫持木马的传播。
安全研究员发现此类视频后即会向YouTube报告,然后YouTube都会将其删除,但攻击者只要再创建一个新用户即可上传更多恶意内容。在视频中出现的“免费比特币获取工具”实际上是一个特洛伊木马。[来源:bleepingcomputer]
缤客网订酒店被退单,信用卡遭多个国家国际盗刷
Booking是总部位于荷兰的住宿预订平台,在国内被网友称作“缤客”。住在西安的赵女士说,她从2014年起就开始在缤客网上预订酒店。赵女士在缤客网上订酒店,遭遇酒店退单之后,没有索回应退款项,且此后信用卡遭遇多个国家的国际盗刷。对此,缤客网公关回应称,接到投诉后,正在帮助游客赵女士处理此事。
缤客网在酒店预订的过程中是不需要提供密码的,输入银行卡信息后,银行卡的相关信息会直接发给酒店,所以最后出现卡被盗刷的现象。赵女士说,她对缤客网目前的处理态度难以接受。“我把钱支付到你的账号里,现在酒店退单,理应先把我的钱退还给我。”对于赵女士所说的情况,5月28日下午,缤客网的公关人员回应称,对于订酒店的退款以及银行卡被人盗刷一事,接到赵女士的反馈之后,已经由缤客网负责客户服务的相关工作人员跟进处理此事,后续如有进展,会第一时间进行反馈。[来源:cnbeta]
广东:校园学习类App不得随意征集学生家长信息
中共广东省委教育工作委员会等7部门宣布,《广东省面向中小学生校园学习类App管理暂行办法》(以下简称管理办法)正式出台,旨在治理学习类App存在的诸多问题,进一步规范校园学习类App使用。
早在今年3月,广东省教育厅曾发布《管理办法》的征求意见稿。据悉,《管理办法》是国内首个针对校园学习类App的省级实施细则,共15条,明确了适用对象、管理范围、部门分工、主办者及产品要求、审查办法、监管机制等内容,自2019年6月1日起正式实施。[来源:IT之家]
OnePlus 7 Pro指纹识别系统在五分钟内即可破解
OnePlus 7 Pro的指纹识别功能采用了和OnePlus 6T相同的“屏下光学”技术,就准确性和解锁速度而言,其表现的确十分出色。但是,对于Max Tech来说“骗过”这些传感器其实并不困难。据Forbes报道,Chaos计算机俱乐部(CCC)在2013年成功绕过了iPhone5S Touch ID的指纹识别系统。他们使用厚的调色剂激光打印到透明薄片上,用乳胶覆盖制成假指纹。
相比之下,Max Tech采取的方法更简单,他将一小块热胶粘到一些锡箔上,润湿手指并将其轻轻涂抹在胶水上以留下印痕,然后用一些白色的胶水填充顶部。只要白胶干燥,即可将其小心地剥离,露出可以用来成功立即解锁OnePlus 7 Pro的假指纹。Max Tech称,克隆的指纹同样可以打开OnePlus 6T,但这种把戏对于使用超声波生物识别技术的手机来说完全无效。[来源:cnbeta]
来源:freebuf.com 2019-05-31 07:00:42 by: Freddy
请登录后发表评论
注册