iOS 12.1密码绕过漏洞曝光，距苹果发布补丁仅数个小时

Windows10 UWP API漏洞曝光，黑客可窃取任意数据

苹果堆缓冲区溢出漏洞曝光，多款操作系统受影响

一、信息泄露

Radisson酒店发生数据泄露事件，会员信息被泄露

近日，Radisson酒店发生数据泄露事件，会员个人信息被泄露，泄露数据包括会员姓名、国籍、电子邮件地址、电话号码、所属公司名称等。Radisson发布声明称，此次数据泄露事件仅影响其约10%的会员账户，无任何用户信用卡信息或密码信息被泄露。截至目前，所有泄露数据已得到保护，Radisson已邮件通知受影响会员注意账户安全。

二、网络攻击

美国G SOC遭黑客攻击，数千女童军隐私信息泄露

据外媒报道，美国Orange County 女童军分部G SOC遭黑客攻击，约2800名女童军成员个人隐私信息被泄露，泄露数据包括成员姓名、出生信息、电邮地址、家庭地址、驾照、病例及保险号等。该组织已通知所有申请加入的成员，建议其家长密切关注可疑消息，避免遭受损失。

研究人员发现新攻击方式，通过视频缩略图将Office武器化

研究人员发现新攻击方式，仅需将html或Java代码嵌入Word文档，并通过document.xml文件将视频链接替换为恶意代码，当用户点击恶意视频缩略图时，攻击者即可执行JS代码，Office 2016及之前版本受影响。此外，当视频被嵌入Word文档时，攻击者可在用户点击文档中缩略图时通过IE执行恶意代码。

图片来源于pixabay

三、恶意软件

CommonRansom勒索软件要求用户提供RDP权限

研究人员发现新型勒索软件CommonRansom，要求被感染用户将0.1比特币赎金及系统详细信息发送到指定邮件地址。专家提醒，当攻击者获取设备RDP权限和管理员凭据时，可窃取或删除任意数据，此外甚至可以安装其他恶意软件令用户失去对系统的完全控制权。

四、漏洞曝光

iOS 12.1密码绕过漏洞曝光，距苹果发布补丁仅数个小时

研究人员在苹果iOS 12发布最新安全补丁数小时后发现，iOS 12.1存在密码绕过漏洞，可读取设备全部联系人。当用户接听电话或让Siri打电话时，可使用群组FaceTime访问联系人列表，甚至通过iOS 3D Touch查看全部联系人信息并发起新通话。该漏洞可影响所有支持苹果群组FaceTime的设备，专家建议通过禁止在主屏幕使用Siri来保护联系人信息。

Windows10 UWP API漏洞曝光，黑客可窃取任意数据

研究人员发现，Windows10 UWP API中存在安全漏洞，可允许开发人员远程遍历用户磁盘信息，窃取任意数据。据外媒报道，UWP API可绕过broad File System Access获取权限的提示直接运行，无需用户许可即可获取Windows文件系统完整访问权限。截至目前，Windows10已在October2018中修复了该漏洞。

苹果堆缓冲区溢出漏洞曝光，多款操作系统受影响

苹果操作系统内核堆缓冲区溢出漏洞曝光，攻击者可控制堆缓冲区溢出内容及大小，通过向接入同一WiFi网络的用户发送恶意数据包，可令其Mac及iOS设备崩溃或重启，甚至在用户设备上执行远程代码。该漏洞由苹果XNU操作系统内核中网络代码的堆缓冲区溢出问题导致，iPhone、iPad及MacBook均受影响。截至目前，苹果已发布iOS 12.1修复该漏洞。

图片来源于创客贴

五、安全资讯

IBM将以史上最高交易价340亿美元收购Red Hat

据外媒报道，IBM将以每股190美元的价格收购开源Linux公司Red Hat，交易总价值高达340亿美元。此次收购将扩大IBM的业务范围，增强其在云安全领域的技术实力。IBM称，将在12个月内增加利润增长，加速收入增长并支持股息稳健增长。据了解，此次收购案预计将于2019年底完成，Red Hat未来将作为IBM旗下独立业务部门运作。

Signal推出“密封发件人”功能

Open Whisper Systems发布声明称，Signal最新测试版将推出“密封发件人”功能，减少消息传递服务可访问的数据量，隐藏发件人信息。Signal客户端可定期获取包含用户电话号码和公共身份密钥的短期发件人证书来验证发件人身份，该功能将使用端到端加密保护信息，避免存储联系人、对话信息、GPS定位、头像等数据。

文章来源:安胜ANSCEN