各位 Buffer 早上好,今天是 2018 年 5 月 18 日星期五,农历四月初四。今天的 BUF 早餐内容主要有:ZipperDown漏洞影响10% iOS软件;谷歌修复导致数百万网页游戏崩溃的Chrome漏洞;美国参议院投票支持保留《网络中立法》;人民日报批移动搜索乱象:个人信息被用于精准欺诈;知情人士透露剑桥分析将数据分享给俄罗斯情报机构。
安全资讯早知道,两分钟听完最新安全快讯~
【应用安全】
ZipperDown漏洞影响10% iOS软件
盘古安全团队研究员本周早些时候表示,他们发现了一种影响10% iOS应用程序的漏洞(ZipperDown)。据称,ZipperDown漏洞是“一种常见的编程错误,会造成数据覆盖等严重后果,甚至导致任意代码执行。”
盘古团队表示,他们创建了一个自动扫描规则在iOS应用库中检索ZipperDown。在扫描的168,951个iOS App中,有15978个受到了ZipperDown漏洞的影响,占比高达10%,其中也包括QQ音乐、微博、QQ空间、快手、微信读书等国人常用应用。
除iOS大规模中招以外,Android App也未幸免于难,盘古团队也将继续发布更多相关细节。
好消息是,利用ZipperDown并不像其他漏洞那样直截了当,攻击者必须处于网络中才能劫持或欺骗设备流量。此外,iOS和Android上的沙盒也可以有效限制ZipperDown漏洞。
[来源:bleepingcomputer]
【Web安全】
谷歌修复导致数百万网页游戏崩溃的Chrome漏洞
Google昨天发布了一项Chrome更新,该更新修复一个导致数百万网页游戏崩溃的漏洞,该漏洞会导致各种神奇的报错,其中一些会使游戏无法播放音频文件。
这个漏洞是在4月中旬的Chrome 66版本被发现的。该版本的一大特点是它能够阻止带有自动播放音频的网页,虽然该功能是针对带有广告及自动播放视频的页面,但它显然具有的副作用,会导致HTML5和基于JS的网页游戏强制静音。
今天发布的Chrome for Desktop v66.0.3359.181已经解决了这个问题,但据说只是暂时的。外媒联系了Google询问更多细节,下面是Google工程师对此漏洞的评论。
我们已更新Chrome 66以临时删除Web Audio API的自动播放策略。此更新不会影响网络上的大多数媒体播放器,因为自动播放策略对<视频>和<音频>仍然有效。我们这样做是为了让Web Audio API开发人员(例如游戏、音频应用和一些RTC功能)有更多时间来更新他们的代码。
该策略将于Chrome 70(10月)中重新应用于Web Audio API。 开发人员可以根据以下建议更新代码:https://developers.google.com/web/updates/2017/09/autoplay-policy-changes#webaudio
来源:[bleepingcomputer]
【网络安全】
美国参议院投票支持保留《网络中立法》
美国参议院周三以52比47票通过了保留《网络中立法》的提案,该法案旨在要求所有网络数据得到平等对待,是美国实施互联网监管长达数年之久的重要一步。这次投票标志着过去数十年中关于访问规则争议的新动向,不过,要真正保住《网络中立法》,仍然面临不少挑战。
许多政客们认为,网络中立法问题将刺激年轻人积极参加2018年的国会选举投票。调查显示,公众普遍反对废除该法案。
让我们像对待公共利益一样对待互联网。我们不允许水务公司或电信运营商歧视用户,我们不会限制人们进入州际高速公路,说你可以进,而他不能进。所以,我们也应当这样对待互联网。
参议院民主党领袖Chuck Schumer说道。
但相应的,代表宽带运营商的美国电信则对此表示失望。
这次投票打破了我们维持一个开放、繁荣的互联网的共同目标。消费者希望获得永久性、全面的在线保护,而不是国会代表的半年或选举年措施。
[来源:securityweek]
【数据安全】
知情人士透露剑桥分析将数据分享给俄罗斯情报机构
因社交巨头Facebook大规模用户数据泄漏事件而臭名昭著的剑桥分析(Cambridge Analytica)公司,近日正面临来自美国司法部和联邦调查局(FBI)的调查,调查缘由或与其涉嫌操纵2016年美国总统大选有关。
5月16日,该公司前员工Christopher Wylie出席美国国会听证会,听证会对剑桥分析对2016年美国大选造成影响以及如何使用脸书的数据进行了讨论。
据悉,Wylie告诉专家组,俄罗斯裔美国研究员Aleksandr Kogan创建了一份收集Facebook用户档案数据的应用程序,同时在俄罗斯资助的项目上开展工作,其中包括“行为研究”。
这意味着,除了Facebook的个人数据在俄罗斯被传播以外,剑桥分析公司也很可能是俄罗斯安全部门的情报目标,且俄罗斯安全部门可能早已被告知剑桥分析保存的Facebook数据。
Wylie在他的书面证词中说。
此外,听证会上另一名举报人提到,在英国投票决定退出欧盟的决议前,英国人的个人数据也可能被泄露并滥用。
[来源:securityweek]
【国内资讯】
人民日报批移动搜索乱象:个人信息被用于精准欺诈
据悉,人民日报记者在手机端下载几个知名移动搜索APP,先后在这些APP和部分内置浏览器的搜索栏输入“胸闷”一词,发现搜索结果的前几条甚至首页均被医院广告占领,广告打着“中医品牌”“名师诊疗”的标签,来院路线、坐诊专家、咨询电话等信息一应俱全,严重“霸屏”。此外,北京一位网友反映,前阵子在淘宝搜索了一个产品,接着就在其他搜索端被推送了相关产品的广告,“贴心”服务不贴心,不同应用场景中留下的数据被“通用”了。
与PC端不同,手机端集合了大量个人数据,各种垂直类平台的发展也使用户分散在不同平台,尤其是医疗、教育、招聘、生活类信息搜索中涉及不少个人敏感信息,容易被不法分子搜集进而实施精准欺诈或广告轰炸,成为移动搜索泄露信息的高发区。
据悉,百度近日已对公司全线产品进行了隐私现状排查及优化,组建了专门的用户隐私治理小组,平台去年累计处理20.8万个“涉嫌窃取用户隐私”的恶意网站;饿了么建立完善的账户风控体系,外卖平台及物流系统都已通过公安部《信息系统安全等级保护》评估认证,并加强对员工用户隐私安全的培训; 5月《信息安全技术个人信息安全规范》实施后,知乎将根据要求继续升级相关保护机制……
专家表示,个人信息的保护需要国家相关监管部门、互联网应用服务商、用户三位一体、形成合力。平台要恪守规范、把好内容、增强自律,用户也要不断提升自我保护意识和能力。
[来源:cnBeta]
*本文由Akane编译整理,转载请注明来自FreeBuf.COM
来源:freebuf.com 2018-05-18 07:00:48 by: Akane
请登录后发表评论
注册