今天的早餐包括:中国白帽子发现可用于入侵 Pixel 智能手机的利用链,获得谷歌 11.25 万美元的奖励;土耳其网络网络军团黑客侵入美国前警长的推特账户;Opera浏览器在最新移动版本中禁用浏览器内置挖矿;Linus Torvalds 评价 Linux Spectre 补丁是“彻底的垃圾”。
【国际时事】
中国白帽子发现可用于入侵 Pixel 智能手机的利用链,获得谷歌 11.25 万美元的奖励
谷歌已经向安全研究人员提供了了一笔112,500美元高额奖励,而这个利用方法可以用来破解谷歌的Pixel智能手机。研究人员是奇虎360的Alpha团队安全研究员龚广,去年2017年8月发现了这种特别的利用链技术。
研究人员通过Android安全奖励(ASR)计划提交了两个漏洞CVE-2017-5116和CVE-2017-14904。该漏洞链包括两个漏洞,CVE-2017-5116和CVE-2017-14904。
CVE-2017-5116是一个V8引擎错误,用于在沙盒渲染过程中获得远程代码执行。
CVE-2017-14904是Android的libgralloc模块中的一个漏洞,用于Chrome的沙箱中。 通过访问Chrome中的恶意URL,这个漏洞利用链可以用来将任意代码注入到system_server中。
[来源:securityaffairs]
【黑客活动】
土耳其网络网络军团黑客侵入美国前警长的推特账户
土耳其网络黑客团队最近一直针对众多网站和用户的Twitter账号。 他们最新的受害者是 David A. Clarke, Jr.,他在特朗普总统的竞选和总统任期内获得了宣传。
在这个黑客攻击中,土耳其网络军修改了该账号中的介绍和其他内容,添加了该组织的图像和他们的行动口号,并发布了一条消息称,
“您的帐号被黑客攻击了,土耳其网络军AYYILDIZ TIM! 您的通信已被捕获! 土耳其人无处不在!”
[来源:bleepingcomputer]
【系统安全】
Linus Torvalds 评价 Linux Spectre 补丁是“彻底的垃圾”
Intel近期递交Spectre修补补丁,但是 Linux 之父 Linus Torvalds 在与Linux内核邮件列表成员沟通时无法抑制自己的强烈感受,他评价道“这是彻底和十足的垃圾”。
Linus 表示 Intel看上去已经尽力尝试了,拿出了他们认为最合适的修复方案,来解决Meltdown问题, 但 Spectre 的解决方案对 Linux 却不够理想。
[来源:bleepingcomputer]
【移动安全】
Opera浏览器在最新移动版本中禁用浏览器内置挖矿
Opera发布了新版本的移动浏览器,如果用户启用了内置广告拦截功能,就可以阻止浏览器内的数字货币挖掘。
2017年12月开始,这个功能出现在 Opera 的桌面版本中。在浏览器中,秘密挖矿会使用用户的移动设备的CPU来挖掘加密货币。
通常这种行为会对硬件造成严重的后果,导致设备CPU在很高的温度下长时间运行。 虽然在Android和iOS版本的Opera Mini版本中目前还没有加入广告拦截器功能,但该功能出现在Google Play上的完整Opera应用程序中。
[来源:bleepingcomputer]
【国内时事】
新华网:中国迈进 “轻现金社会” 需破解金融信息安全难题
出门吃饭或者在街边买个煎饼果子,也能用手机扫二维码支付,甚至“刷脸”买单;海外“买买买”也可以用手机支付……刚刚过去的2017年,移动支付进入集中爆发期,仅在第三季度,中国第三方移动支付交易规模约达29.5万亿元。这一年,中国二维码支付有望突破9000亿元市场规模。
专家表示,轻现金社会给人们带来实实在在便利的同时,也对公民信息安全、支付习惯乃至国家金融安全等带来挑战。如何引导“轻现金社会”健康发展,成为亟待解决的问题。
技术层面,二维码支付可能产生安全漏洞和隐患。市场层面,部分支付机构可能会挪用备付金或开展不正当竞争,扰乱市场秩序。合规层面,部分市场机构可能会违规收单等。对此,中国人民银行近期出台条码支付新规,实施支付机构客户备付金集中存管并提高缴存比例,以加强对支付清算市场的整治。
赵鹞认为,一些深层次问题仍待解决。例如,轻现金社会会对老年人、文盲、残障人士等弱势群体造成伤害,造成个人敏感信息泄露,不利于个体管理金融风险等。
其中金融信息安全备受关注。在“去现金化”程度已非常高的挪威,很多人认为,取消现金交易会侵犯消费者的隐私权和选择权,而且面临电子支付系统风险。此外,取消现金也不能杜绝金融犯罪。
[来源:新华网]
*本文整理编译Elaine,转载请注明FreeBuf.COM
来源:freebuf.com 2018-01-24 07:00:57 by: Elaine_z
请登录后发表评论
注册