by ·BUF大事件丨苹果安全漏洞曝光:约5亿部iPhone易受攻击;任天堂开始调查NS账户大范围异常登录,已出现盗刷案例已关闭评论

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,苹果安全漏洞曝光:约5亿部iPhone易受攻击;任天堂开始调查NS账户大范围异常登录,已出现盗刷案例;2.67亿Facebook用户信息以500英镑在暗网出售;CNCERT发布《2019年我国互联网网络安全态势综述》报告。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

苹果安全漏洞曝光:可能有5亿部iPhone易受攻击

近日,安全研究人员发现iPhone和iPad默认邮件应用存在两个正在被在野利用的严重漏洞,只需通过Mail应用程序向用户设备发送电子邮件,就可以让远程攻击者秘密获取苹果设备的控制权。这可能会使超过5亿部iPhone容易受到黑客的攻击。iPad也存在这一问题。目前,苹果已经开发了一个修复程序,将在即将发布的更新中推出。建议苹果用户在漏洞修复前不要使用内置邮件程序。 

2.1.jpg

任天堂开始调查NS账户大范围异常登录,已出现盗刷案例

近日,大量玩家在Reddit、推特等社交平台抱怨自己的任天堂账户出现异常,疑似被盗。甚至已经出现任天堂账户所绑定PayPal被盗刷100英镑的的案例。任系新闻站LootPots创始人发推表示账户一夜之间被多次异地访问,怀疑账号被黑。有趣的是,任天堂官方没有给出直接回应,而是发布公告称eShop的信用卡支付功能暂时下线。建议玩家小心为上,开启两步验证或更换密码谨防中招。 

1.jpg

2.67亿Facebook用户信息以500英镑在暗网出售

最近暗网市场异常活跃,前有Zoom逾50万用户数据出售,现在又曝出2.67亿的Facebook用户数据上市。包括姓名、邮箱地址、电话、社会身份等,这些信息在暗网上仅以500英镑的价格出售。据推测:此次数据泄露很可能是第三方API泄露或报废导致的。尽管此次泄露信息中没有涉及密码,但由于这些信息包含了用户的敏感资料,很有可能被用于网络钓鱼诈骗或者发送垃圾邮件。不过Cyble的研究人员在暗网上购买并验证了这些数据,随后建立了一个数据泄露监控平台,Facebook用户可以通过输入电子邮件查询自己的账号是否被盗。 

3.jpg

CNCERT发布《2019年我国互联网网络安全态势综述》报告

2020年4月20日,国家互联网应急中心编写的《2019年我国互联网网络安全态势综述》报告正式发布。报告主要分为四个部分:一是总结2019年我国互联网网络安全状况;二是预测2020年网络安全热点;三是结合网络安全态势分析提出对策建议;四是梳理网络安全监测数据。其中,报告提出六点预测:认为国家关键信息基础设施安全、重要数据和个人信息保护、国家级网络对抗、精准网络勒索、远程协同安全风险、5G等新技术安全将成为2020年网络安全领域值得关注的热点。 

4.jpg

本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

by ·BUF大事件丨警方抓获百度网盘“破解版”Pandownload 开发者;福特、大众畅销车曝安全漏洞,黑客可窃取隐私操控车辆已关闭评论

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,警方抓获百度网盘“破解版”Pandownload 开发者;20余款App违规,瑞幸每日优鲜必胜客春雨医生等被点名;福特、大众畅销车曝安全漏洞,黑客可窃取隐私、操控车辆;微软发布了漏洞补丁,其中3个为0day漏洞。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

警方抓获百度网盘“破解版”Pandownload 开发者

今年2月,受害人刘某报案称其下载的“Pandownload”软件会在未授权的情况下,将自己百度网盘的数据共享出去,导致隐私照片和文件泄露。江苏省扬州网安民警立即开展案情分析研判,经过梳理,发现该软件可以以非会员权限突破百度网盘官方设定,实现高速下载,系侵入、非法控制计算机信息系统的程序、工具,并且该软件的使用者达到数万人,犯罪嫌疑人非法获利30万余元,致使北京百度网讯科技有限公司损失高达上千万元。 

1.jpg

20余款App违规,瑞幸每日优鲜必胜客春雨医生等被点名

近日,国家计算机病毒应急处理中心在“净网2020”专项行动中对互联网监测发现,20余款外卖、医疗和在线教育类App涉嫌隐私不合规行为,瑞幸、每日优鲜、必胜客、春雨医生等被点名。其违法违规行为大致可以分为三类:一是未向用户明示申请的全部隐私权限;二是未说明收集使用个人信息规则;三是未提供有效的更正、删除个人信息及注销用户账号功能。针对上述情况,国家计算机病毒应急处理中心将对这些App进行通报下架处理。同时提醒广大手机用户一定要谨慎下载使用,避免个人信息受到安全威胁。 

2.jpg

福特、大众畅销车曝安全漏洞,黑客可窃取隐私、操控车辆

近日英国消费者协会杂志《Which?》检测出福特和大众的两款畅销车存在严重安全漏洞,测试结果显示,安全研究人员能够进入大众的Polo汽车的信息娱乐系统,从而影响到汽车的牵引力控制。此外,信息娱乐系统中还存储着用户的个人敏感信息,如电话、地理位置记录等。另外,福特的测试结果也不容乐观。据显示:即使是最为常规的工具也可以拦截其轮胎压力监控系统的信息,而攻击者便可以利用这个漏洞发送虚假信息,对车主的安全造成极大的威胁。 

4.jpg

微软发布了漏洞补丁,其中3个为0day漏洞

在本月的补丁星期二中,微软发布了Windows操作系统的最新一批软件安全更新,共修复了113个新安全漏洞,其中包括3个0day漏洞:CVE-2020-1020和CVE-2020-0938属于远程代码执行漏洞、CVE-2020-1027则属于Windows内核特权提升漏洞。据悉,这3个0day漏洞是由Google的两个安全团队-零项目和威胁分析小组发现并报告的。 

3.jpg

本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

by ·BUF大事件丨WannaRen勒索病毒:从传播到解密;Switch全系告破,黑客开售硬件;黑客揭iPhone相机0day漏洞,获7.5万美元奖励已关闭评论

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,“WannaRen”勒索病毒攻击源曝光;Switch全系告破 黑客开售硬件模块:4月底发货;黑客揭iPhone相机0day漏洞,获7.5万美元奖励;超级产品力系列之《2020国内抗DDoS产品研究报告》正式发布。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

WannaRen勒索病毒:从传播到解密

最近,一种名为“WannaRen”的新型勒索病毒正在大规模传播,在各类贴吧、社区中招求助人数急剧上升。感染“WannaRen”勒索病毒的用户,重要文件会被加密并被黑客索要0.05BTC赎金。根据调查发现:“WannaRen”勒索病毒的作者是此前借“永恒之蓝”漏洞祸乱网络的“匿影”组织。就在这一病毒弄得人心惶惶的时候,事情却去迎来了反转。4月9日,“WannaRen”勒索病毒作者主动联系到火绒,提供了相关解密密钥以制作“相应解密程序”。截止目前,该病毒作者提供的比特币钱包未收到任何赎金,该作者也已经停止下发、传播“WannaRen”勒索病毒。温馨提示,平时不要下载及打开来路不明的文件。 

1.jpg

Switch全系告破,黑客开售硬件模块

4月7日,TX团队(Team-Xecuter)正式宣布启动Switch破解模块的预购,其中SX Core可破解Switch全系,SX Lite则专门用于Switch Lite。同时,TX团队还放出了安装破解模块(modchip)后的主板高清照片。除了modchip,破解模块中还附赠SX OS授权,当然,用户仍可以使用CFW(自定义固件)。据官方说法,此次破解采取硬破方式,也就是对于长续航版和Lite需要拆机加焊以固定。 

2.jpg

黑客揭iPhone相机0day漏洞,获7.5万美元奖励

苹果近日已向一名黑客支付了7.5万美元奖励,因该名黑客于去年12月向苹果披露了其从Safari中发现的7个0 day漏洞,其中3个漏洞使其可透过诱骗用户开启恶意网站的方式来劫持用户iPhone的相机,同样的方法也适用于Mac上的网路摄影机。据悉苹果已于今年1月修复其中最严重的漏洞,其余则在上个月修复。 

3.jpg

超级产品力系列之《2020国内抗DDoS产品研究报告》正式发布

DDoS攻击起源于二十世纪九十年代,历经二十多年发展经久不衰,目前已经成为网络安全领域影响最为深远的威胁之一。根据阿里云监测数据,2019年,云上DDoS攻击发生近百万次,日均攻击2000余次,攻击手法也更为多变复杂。在此风云变幻之际,FreeBuf咨询出品了一份《2020国内抗DDoS产品研究报告》,针对企业所采用抗D产品的现状、企业遭受DDoS攻击类型、抗D产品满意度、抗D产品期望改进等方面做了一些调查,尽可能将一个完整的抗DDoS产品现状呈现在大家眼前。完整版报告现已发布,感兴趣的小伙伴赶紧来扫码下载吧! 

4.jpg

本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

by ·BUF大事件丨黑客1亿美元叫卖AMD源码;Pwn2Own 2020春季赛落下帷幕;淘宝出现“内测版本将到期” 弹窗Bug已关闭评论

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,淘宝出现“内测版本将到期” 弹窗Bug,官方回应:关闭提醒即可;黑客1亿美元叫卖AMD源码;Pwn2Own 2020春季赛落下帷幕,Fluoroacetate团队成最大赢家;FreeBuf企业安全系列之《2020国内抗DDoS产品研究报告》即将发布。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

淘宝出现“内测版本将到期” 弹窗Bug,官方回应:关闭提醒即可

3 月 25 日,大量微博网友反映,手机淘宝 iOS 版本出现了Bug,苹果手机用户打开淘宝App后,会弹窗提示:“您使用的程序是内测版本,将于当地时间2020-03-28到期,到期后将无法使用,请尽快下载最新版本”。不少网友怀疑这一Bug是因程序员不满打出的3.25的绩效评分而留下的,但对于这一说法,淘宝官博立即辟谣了,并提示用户“关闭提醒即可”。另外淘宝也紧急在 App Store 推送了 App 更新,但没有配相应的升级信息。 

1.jpg

黑客1亿美元叫卖AMD源码

3月25日,AMD发布公告称:2019年底有黑客与他们联系,表示拥有AMD最新的GPU源码,索要1亿美元赎金。AMD自然是不能答应的,随后黑客就真在GitHub上公布了部分代码,颇有点杀鸡儆猴的意味。同时AMD宣布:目前这件事已经进入了刑事调查阶段,也已通过法律手段要求Github删除了相关源码。 

2.jpg

Pwn2Own 2020春季赛落下帷幕,Fluoroacetate团队成最大赢家

每年春季在加拿大CanSecWest 网络安全会议上举办的 Pwn2Own 黑客大赛刚刚落下帷幕。受新冠病毒疫情的影响,出于安全健康的考虑,今年的 Pwn2Own 黑客大赛也转到了线上进行。两天时间里,六支参赛队伍成功地入侵了 Windows、macOS、Ubuntu和Safari等应用程序和操作系统。最终的大赢家是由安全研究人员 Amat Cama 和 Richard Zhu 组成的 Fluoroacetate 团队,他们累计拿到了 9 个积分,并在四场比赛中将优势保持到了最后。 

3.jpg

预告:FreeBuf企业安全系列之《2020国内抗DDoS产品研究报告》即将发布

DDoS攻击起源于二十世纪九十年代,历经二十多年发展经久不衰,目前已经成为网络安全领域影响最为深远的威胁之一。根据阿里云监测数据,2019年,云上DDoS攻击发生近百万次,日均攻击2000余次,攻击手法也更为多变复杂。在此风云变幻之际,FreeBuf咨询出品了一份《2020国内抗DDoS产品研究报告》,针对企业所采用抗D产品的现状、企业遭受DDoS攻击类型、抗D产品满意度、抗D产品期望改进等方面做了一些调查,尽可能将一个完整的抗DDoS产品现状呈现在大家眼前,以此对2020年甚至更长远的抗D工作作出一个适当的规划。完整版报告即将发布,感兴趣的小伙伴别忘了关注一波哟。 

4.jpg

本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

by ·BUF大事件丨微博泄露事件卧底调查报告:隐私一览无余;Intel处理器曝新漏洞:打补丁性能骤降77%已关闭评论

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,微博泄露事件卧底调查报告:隐私一览无余;Intel处理器曝新漏洞:打补丁性能骤降77%;严防健康码数据泄露,需要从源头加强监管;预告:FreeBuf《2019年金融行业网络安全报告》即将发布。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

微博泄露事件卧底调查报告:隐私一览无余

3月19日,有微博用户称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”在其微博下,也有不少网友留言表示自己也疑似遭遇了数据泄露。不久后就有人发现这些数据可以在匿名通讯工具telegram中查询,通过给机器人充值积分,提供微博主页Oid,便可以查出绑定的QQ、手机,拿到了手机号,就可以通过精准查询得到用户真实姓名、老密信息、邮箱、QQ密码等。而且更为魔幻的是这样一个靠售卖公民隐私数据的产品竟然还主打“隐私功能”。还能说什么,大家还是赶紧改密码吧! 

1.jpg

Intel处理器曝新漏洞:打补丁性能骤降77%

3 月 6 日,继幽灵、熔断等漏洞曝光后,Intel和AMD处理器的安全漏洞似乎突然之间增加了很多,近期有安全研究机构发现英特尔处理器LVI漏洞,该漏洞可以让攻击者绕过Intel SGX软件保护扩展机制,从处理器中窃取敏感信息。Intel表示,受影响产品只有关闭超线程才能规避此漏洞,不过实现LVI的方法较为繁杂,暂时不具备实质性威胁,Intel也更新了SGX平台软件及SDK开发包以保障企业用户的安全。怎么说呢,英特尔把这两年挤出来的牙膏又倒吸了回去。 

2.jpg

严防健康码数据泄露,需要从源头加强监管

疫情期间,为了便于对个人的健康状况进行查询和验证,各地陆续上线了健康码服务。用带有颜色标记的二维码作为数字化健康证明,既提升了管理效率,又避免了交叉接触带来的风险。据了解,目前普遍使用的健康码主要采用生成动态码方式,通过调取数据库中的个人身份信息和健康信息展示在网页上,然后对网页链接进行编码。且各地的健康码的相关标准尚未统一。健康码背后毕竟是关联了个人的敏感信息,还应当不断加强安全措施,完善管理机制,让健康码变得既健康又安全。 

3.jpg

预告:FreeBuf《2019年金融行业网络安全报告》即将发布

2019年,金融行业逐渐从爆雷潮的动荡趋于平稳。面对移动金融、区块链等新趋势的发展、传统金融数字化转型,网络安全成为维系行业稳定发展的重要保障。在这样的背景下,FreeBuf咨询联合深信服,通过大量调研和分析,汇成一份《2019年金融行业网络安全报告》,尽可能将一个完整的金融安全态势展现在大家眼前,以此对2020年甚至更长远的安全工作作出一个适当的规划。完整版报告即将发布,感兴趣的小伙伴别忘了关注一波哟。 

4.jpg

本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

by ·BUF大事件丨天猫超市大数据“杀熟”?官方网友在线Battle;新版个人信息安全规范正式发布,隐私安全得到高度重视已关闭评论

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,天猫超市大数据“杀熟”?官方否认后网友拿出新证据;新版个人信息安全规范正式发布,隐私安全得到高度重视;无节制流氓推广,2345旗下下载站正在传播木马程序;本月补丁星期二微软共修复115个漏洞,其中26个标记为严重。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

天猫超市大数据“杀熟”?官方网友在线Battle

3月8日,有网友爆料天猫超市大数据“杀熟”。同一个链接的相同产品,88VIP 会员的价格比普通用户还高。随后网友找客服核实情况,得到的回复竟然是“ 88VIP 本身价格就是高的呢”,这回答也是蛮让人意外的。对此,天猫超市官微回应称:不存在大数据杀熟的问题,消费者产生误解是因为3·8 活动期间“新人专享价”标识未正常显示。不过对于天猫超市的这一回应,不少人表示怀疑,甚至引发了新一轮的爆料:同一个产品,三个用户看到的价格也各不相同,除此之外88VIP之间同一商品也存在价格差异。 

1.jpg

新版个人信息安全规范正式发布 隐私安全得到高度重视

3 月 6 日,国家市场监督管理总局、国家标准化管理委员会正式发布国家标准《信息安全技术个人信息安全规范》,并定于2020年10月1日实施。《规范》对个人信息收集、储存、使用做出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。与 2017 年的版本相比,这次的变化主要有三个方面:一是增加了“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、等内容。二是修改了“征得授权同意的例外”、“个人信息主体注销账户”、“明确责任部门与人员”等内容。三是针对个人生物识别信息方面的要求,进行了细化与完善。 

2.jpg

无节制流氓推广 2345旗下下载站正在传播木马程序

近日,火绒工程师发现2345旗下“多特下载站”的下载器正在实施传播木马程序的恶意行为。用户下载运行该下载器后,会立即被静默植入一款名为“commander”的木马程序,该木马程序会在后台运行,并根据云控配置推送弹窗广告和流氓软件。即使用户关闭下载器,“commander”仍然会一直驻留用户系统。同时,该下载器还会释放病毒劫持用户浏览器首页,用以推广广告程序。 

3.jpg

本月补丁星期二微软共修复115个漏洞 其中26个标记为严重

在本月的补丁星期二活动日中,微软修复了115个安全漏洞,其中26个被标记为“严重”安全等级。在26个严重漏洞中,其中不少于17个漏洞存在于浏览器和脚本引擎,因此如果你正在使用微软的浏览器,那么推荐您尽快安装该修复补丁。另外微软公布了在Server Message Block 3.0中发现的“蠕虫型”预授权远程代码执行漏洞,该漏洞本该在周二更新中修复,但是由于微软目前尚未发现此漏洞的任何缓解因素,只是给出了禁用SMBv3压缩的解决方法。 

4.jpg

本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

by ·BUF大事件丨实锤!涉美CIA攻击组织对我国发起网络攻击;国家互联网信息办公室:禁止网络暴力、人肉搜索已关闭评论

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,全球首家实锤,涉美CIA攻击组织对我国发起网络攻击;《网络信息内容生态治理规定》3月1日施行,禁止网络暴力、人肉搜索;Gitee遭受DDoS攻击,官方建议不要在hosts里绑定IP地址;盒子线上梦想趴:等到春暖花开时,盒子带你去撒欢。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

全球首家实锤!涉美CIA攻击组织对我国发起网络攻击

全球首家实锤!涉美CIA攻击组织对我国发起网络攻击。2020年3月3日,360安全大脑捕获了美国中央情报局攻击组织(APT-C-39)对我国进行的长达11年的网络攻击渗透,在此期间,我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等多个单位均遭到不同程度的攻击。该组织所使用的网络武器和CIA “Vault7”项目中所描述网络武器几乎完全吻合。而“Vault7”早在2017年就在维基解密网站上被披露属于CIA网络情报中心。通过大量攻击案例特性分析,360最终将这一APT组织的攻击来源锁定为美国中央情报局。 

1.jpg

《网络信息内容生态治理规定》3月1日施行:禁止网络暴力、人肉搜索

3月1日,国家互联网信息办公室发布的《网络信息内容生态治理规定》正式施行。根据规定,网络信息内容服务使用者和生产者、平台不得开展网络暴力、人肉搜索、深度伪造、流量造假、操纵账号等违法活动。此外,规定还要求网络信息内容服务使用者切实履行相应义务,在以发帖、回复、留言、弹幕等形式参与网络活动时,文明互动,理性表达。 

2.jpg

Gitee遭受DDoS攻击,官方建议不要在hosts里绑定IP地址

3月2日,国内代码托管平台Gitee发布消息称,近期遭受疯狂的DDoS攻击。由于部署了高防产品,具备一定的防御DDoS攻击能力,对于大多数用户并没有收到影响。Gitee建议用户「不要在 hosts 里绑定 gitee.com 到某个固定的 IP」,同时尽量选择使用一些公共 DNS 服务器。 

1583200389_5e5db8859a2fb.jpg

盒子线上梦想趴:等到春暖花开时,盒子带你去撒欢

最近因为疫情的影响……..为了各位大表哥的安全,以及想要出去浪的迫切愿望,第四届盒子白帽梦想趴强势来袭!这两个月,在家里喝喝热水,在盒子提提高危,两个月后,等战胜疫情,等春暖花开,盒子带你撒欢。本次除了盒子年度积分TOP10大佬参与境外游,其他的名额可凭借活动奖励领取。第一个梦想趴项目已经上线,赶快上车吧,为你的梦想出行赚第一桶金! 

15832018397411.jpg

本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

by ·BUF大事件丨伪造3D头像成功骗过支付宝人脸认证;米高梅酒店1060万客人信息被公布已关闭评论

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,4人非法购买公民个人信息伪造3D头像成功骗过支付宝人脸认证;1060多万名米高梅酒店客人信息被公布在黑客论坛上;Face ID遭遇Bug 导致iPhone解锁后出现鬼影键盘;工信部:目前只向部省两级联防联控机制提供分析数据。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

4人非法购买公民个人信息伪造3D头像,成功骗过支付宝人脸认证

支付宝可能怎么也没想到,自己有一天也会被“诈骗”。近日,裁判文书网上发布了一起刑事案件 ,根据法院的判决书显示,从2018年7月份开始,被告人张某、余某等人以牟利为目的,利用非法获取的公民个人信息,通过使用软件将相关公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证,获取支付宝提供的邀请注册新支付宝用户的相应红包奖励。截止案发,该团伙非法收集2千万条公民个人信息,获利4万元。支付宝回应称,人脸识别认证目前的准确率为99.99%,2018年出现的这一案例为极小概率事件。 

1.jpg

1060多万名米高梅酒店客人信息被公布在黑客论坛上

据外媒报道,本周超1060万名住在米高梅国际度假酒店的客人的个人详细信息被公布在了一个黑客论坛上,诸如全名、家庭住址、电话号码、电子邮件和生日等。根据调查,此次被发布到网上的数据源于去年发生的未经授权的云服务器访问。不过米高梅发言人表示:此次安全事件并不涉及任何财务、支付卡或密码数据问题。 

2.jpg

Face ID遭遇Bug,导致iPhone解锁后出现鬼影键盘

据外媒报道,有部分外国iPhone用户表示,自己在通过Face ID解锁iPhone后遇到类似“鬼影键盘”之类的Bug,这似乎表明键盘在后台运行,但在屏幕上不可见。不少用户已经在iPhone X和iPhone XS上确认了类似的错误,而且该问题主要出现在IOS12中,最新iOS版本的iPhone 11 Pro设备上则没有发现这一错误。目前该问题已经报告给了苹果,不过苹果方面认为这并不是安全性问题,并未修复。 

3.jpg

工信部:目前只向部省两级联防联控机制提供分析数据

当前,疫情防控工作进入关键时期,内防扩散、外防输出任务迫切。三大运营商都开通了为手机用户免费提供“行程证明”查询服务。运用电信大数据分析,统计人员流动情况,对流动人员的疫情监测、精准施策有重要参考意义。对于大数据分析会不会侵犯用户隐私的问题,工信部信息通信管理局局长表示“工信部目前只向部省两级联防联控机制提供相关数据,由联络联控机制根据工作需要决定是否向公众和个人开放。” 

4.jpg

本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

by ·【FreeBuf字幕组】CTF难题挑战:任意写入House of Force(堆利用)已关闭评论

内容介绍

CTF难题挑战主要聚焦于各种CTF比赛中的难题讲解。 本期视频是围绕House of Force展开讲解,House Of Force属于House Of XXX系列,而House Of XXX是2004年“ Malloc Maleficarum-Glibc Malloc开发技术”中提出的glibc堆栈器的一系列方法。

但是,The Malloc Maleficarum中提出的大多数方法今天都无法使用,而我们现在所指的House Of XXX与2004年文章中所写的完全不同。但是“ The Malloc Maleficarum”仍然是推荐的文章。在视频中,讲师使用LibC地址获取Free Hook指针、从“ malloc”返回任意指针、调用一个特定的函数把堆栈移到寄存器中,然后在函数返回后访问指令指针的值等,感兴趣的小伙伴一定不能错过此次的精彩视频。

观看视频

看不到视频点这里

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

*本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM 

by ·BUF大事件丨微软修复了国家安全局上报的Windows严重漏洞;App年度报告刷屏背后:隐私问题引争议已关闭评论

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,微软修复了国家安全局上报的Windows严重漏洞;App年度报告刷屏背后:隐私问题引争议;交通运输部等六部门:网约车平台采集的个人信息保存期限不少于2年;国家计算机病毒应急处理中心监测发现二十四款违法移动应用。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

微软修复了美国国家安全局上报的Windows严重漏洞

在本月的补丁星期二,微软修补了49个安全漏洞,其中最受瞩目的是涉及证书验证绕过的漏洞CVE-2020-0601。根据微软对该漏洞的说明,黑客可以利用该漏洞,欺骗程式码签章凭证,使恶意程式被误认为来自可信的来源。黑客一旦得手,就可以截取用户的加密通讯并将其解密。由于该漏洞是由美国国安局所发现并主动提交给微软的安全漏洞,因此被不少媒体放大解读,称之为“微软超级漏洞”。微软内部人员称:部分媒体存在夸大事实、发布不负责任的虚假内容等情况,目前并未有证据显示该漏洞已被黑客利用,用户可通过Windows 10更新功能自动修补该漏洞。 

2.jpg

App年度报告刷屏背后:隐私问题引争议

2017年,网易云年度歌单横空出世,引爆了各大社交平台,随后,支付宝年度账单加入战场,QQ音乐、知乎、饿了么、哔哩哔哩等互联网公司纷纷替用户做起了年终总结。当然,这一切都是基于用户数据。今年,网易云音乐年度报告如期而至,但其中新增的“悄悄拜访”却让不少用户大呼尴尬。有用户认为:这一数据属于个人隐私,网易云音乐无权获得;此外,既然已经“悄悄拜访”,为什么还要收集使用? 

网易云.jpg

交通运输部等六部门:网约车平台采集的个人信息保存期限不少于2年

近日,《关于修改〈网络预约出租汽车经营服务管理暂行办法〉的决定》经交通运输部第26次部务会议通过,并经工业和信息化部、公安部、商务部、市场监管总局、国家网信办同意。《办法》规定:网约车平台公司应当遵守国家网络和信息安全有关规定,所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,保存期限不少于2年,除法律法规另有规定外,上述信息和数据不得外流。 

4.jpg

国家计算机病毒应急处理中心监测发现二十四款违法移动应用

国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现,多款违法、违规有害移动应用存在隐私不合规行为,包括《深圳航空》、《遨游旅行》等未经用户同意收集个人隐私信息,《12306买票》、《航旅纵横》、《民生银行》、《搜狗浏览器》等未向用户明示申请的全部隐私权限。针对上述情况,在此提醒广大手机用户首先不要下载这些违法有害移动应用。其次,建议打开手机中防病毒APP的“实时监控”功能,对手机操作进行主动防御。 

净网2020.jpg

本文作者:Darry端,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM