風(fēng)險(xiǎn)漏洞 處處小心

比特幣軟件被曝DoS漏洞

比特幣軟件被曝存在一個(gè)嚴(yán)重漏洞，該漏洞是一個(gè)DoS漏洞，如果漏洞被黑客利用，就有可能去掉節(jié)點(diǎn)，最糟糕的情況甚至?xí)?dǎo)致相當(dāng)一部分網(wǎng)絡(luò)暫時(shí)崩潰。修復(fù)方案已通過(guò)Bitcoin Core 0.16.3發(fā)出。

新漏洞允許黑客訪問(wèn)處于睡眠模式的電腦

F-Secure公司發(fā)現(xiàn)了一個(gè)新漏洞，幾乎影響每臺(tái)電腦。該漏洞可能允許黑客在電腦進(jìn)入睡眠狀態(tài)時(shí)訪問(wèn)加密的硬盤，但攻擊無(wú)法遠(yuǎn)程執(zhí)行，需要物理訪問(wèn)設(shè)備。

特斯拉門鎖存在安全漏洞

比利時(shí)魯汶大學(xué)的研究人員發(fā)現(xiàn)一種欺騙特斯拉無(wú)鑰匙進(jìn)入系統(tǒng)的方法。黑客只需與車主擦肩而過(guò)、復(fù)制其密鑰，數(shù)秒鐘時(shí)間就能輕松盜竊特斯拉電動(dòng)汽車。目前防范措施是采用強(qiáng)大的加密技術(shù)防止信號(hào)被解密。

漏洞

視頻監(jiān)控出現(xiàn)零日漏洞

Tenable公司的研究人員近日披露了一項(xiàng)涉及安全攝像頭和監(jiān)控設(shè)備的“零日漏洞”，編號(hào)為CVE-2018-1149，代號(hào)“Peekaboo”。攻擊者可以利用這個(gè)漏洞，通過(guò)遠(yuǎn)程方式在視頻監(jiān)控系統(tǒng)軟件上執(zhí)行代碼。

Chrome存在Wi-Fi漏洞

SureCloud公司的研究人員發(fā)現(xiàn)谷歌Chrome和Opera瀏覽器存在漏洞，可使Wi-Fi受到攻擊。該漏洞適用于任何基于Chrome內(nèi)核Chromium的瀏覽器，通過(guò)明文HTTP提供管理頁(yè)面的任何路由器都會(huì)受到此問(wèn)題的影響。谷歌已修復(fù)了該漏洞。

PHP反序列化漏洞或使WordPress遭遠(yuǎn)程攻擊

Secarma公司的研究人員在某會(huì)議上展示了PHP編程語(yǔ)言的安全漏洞，并指出該漏洞影響了所有接受用戶資料的PHP應(yīng)用程序和庫(kù)，包括WordPress等內(nèi)容管理系統(tǒng)（CMS），并將允許遠(yuǎn)程程序攻擊。

微軟和蘋果瀏覽器漏洞

安全研究人員發(fā)現(xiàn)Edge和Safari瀏覽器存在漏洞，惡意者可以利用漏洞發(fā)起攻擊，在不改變地址的情況下改變網(wǎng)頁(yè)內(nèi)容。微軟目前已經(jīng)修復(fù)漏洞。

Wireshark被曝嚴(yán)重漏洞

思科報(bào)告中表示，CVE-2018-16056、CVE-2018-16057和CVE-2018-16058三個(gè)漏洞有可能對(duì)運(yùn)行版本2.6.0到2.6.2、2.4.0到 2.4.8和2.2.0到2.2.16Wireshark的用戶造成嚴(yán)重干擾。Wireshark團(tuán)隊(duì)承認(rèn)了該漏洞并進(jìn)行了修復(fù)。

Android API breaking漏洞可致數(shù)據(jù)泄露

Nightwatch Cyber security公司的專家發(fā)現(xiàn)了Android系統(tǒng)中存在的漏洞，能夠讓網(wǎng)絡(luò)攻擊者秘密捕獲WiFi廣播數(shù)據(jù)從而追蹤用戶。

利用Excel文檔執(zhí)行惡意軟件攻擊

針對(duì)近日曝光的Adobe Flash零日漏洞（CVE-2018-5002），已經(jīng)出現(xiàn)了一款名叫 CHAINSHOT的惡意軟件攻擊。研究人員攻破了其采用的RSA密鑰，揭示出其利用微軟Excel文件包含的微型Shockwave Flash ActiveX對(duì)象、以及一個(gè)所謂的“電影”的URL鏈接，欺騙人們?nèi)ハ螺dFlash應(yīng)用程序。

新蠕蟲(chóng)具有僵尸網(wǎng)絡(luò)等新功能

Palo Alto Networks的Unit 42研究團(tuán)隊(duì)發(fā)現(xiàn)一種新的惡意軟件類，能夠針對(duì)Linux和Windows服務(wù)器，將加密貨幣挖掘，僵尸網(wǎng)絡(luò)和勒索軟件功能結(jié)合在一個(gè)自我擴(kuò)展的蠕蟲(chóng)軟件包中。

CoinHive挖礦劫持仍在肆虐

近期研究人員發(fā)現(xiàn)了另外3700臺(tái)秘密運(yùn)行惡意的加密貨幣挖礦軟件的路由器。攻擊者對(duì)MicroTik路由器實(shí)施“零日攻擊”。

MaaS僵尸網(wǎng)絡(luò)Black Rose Lucy

Check Point公司研究人員截獲了一個(gè)新的MaaS僵尸網(wǎng)絡(luò)Black Rose Lucy，惡意軟件利用Android的可訪問(wèn)性服務(wù)來(lái)安裝其有效負(fù)載。受害者一旦啟用服務(wù)，惡意軟件就會(huì)獲得管理員權(quán)限。

MageCart組織進(jìn)行供應(yīng)鏈攻擊

網(wǎng)絡(luò)犯罪組織MageCart最近十分活躍，入侵了云服務(wù)公司Feedify竊取個(gè)人信息和支付卡數(shù)據(jù)。MageCart黑客可能已經(jīng)入侵Feedify服務(wù)器近一個(gè)月。

Click2Gov服務(wù)器中存在惡意軟件

FireEye研究人員發(fā)現(xiàn)黑客入侵了Click2Gov服務(wù)器并植入了竊取信用卡詳細(xì)信息的惡意軟件。攻擊者可能利用了Oracle漏洞，這些漏洞提供任意文件的上傳功能或?qū)崿F(xiàn)遠(yuǎn)程訪問(wèn)，并上傳了一個(gè)公開(kāi)可用的JSP webshell SJavaWebManage的變體，以維護(hù)Web服務(wù)器上的持久性。

“毒云藤”APT組織網(wǎng)絡(luò)間諜活動(dòng)

360追日?qǐng)F(tuán)隊(duì)發(fā)現(xiàn)毒云藤組織對(duì)中國(guó)重點(diǎn)單位和部門進(jìn)行的網(wǎng)絡(luò)間諜活動(dòng)，其在初始攻擊環(huán)節(jié)主要采用魚叉式釣魚郵件攻擊，并對(duì)目標(biāo)進(jìn)行精心分析，構(gòu)造誘餌文件和郵件。

以上信息分別來(lái)源于“HackerNews”、“安全客”、“安全加”、“安天”