科技界惊爆13宗安全问题！ 苹果占了半数！

神经病1983

2019年年底，不少厂商与公司纷纷推出新产品，与此同时，科技界也惊爆不少安全漏洞问题。其中，苹果的升级安装出现异常问题后，再次传出安全漏洞！小编整理了过去一个月发生的13个安全漏洞中，苹果几乎就占了一半！


图片来源：网络



1. 苹果Safari传送用户数据

苹果向来重视用户私隐与安全，但近日却有消息称，苹果的Safari浏览器长期以通过其“欺诈网站警告功能”，向Google和腾讯发送数据。最令人担心的是，这些数据其中就包括了用户的IP地址。如果用户想要阻止数据发送，可透过Safari设置--安全设置，取消“Fraudulent Site欺诈网站警告”。


图片来源：网络




2. 升级MacOS Catalina会令电邮资料流失


MacOS Apple Mail插件开发者Michael Tsai揭露，从Mojave升级到Catalina后可能导致电邮资料流失。不仅如此，透过 Drag and Drop或是AppleScript将邮件从一个邮箱移到另一个邮箱时，也会出现资料流失的问题。那是因为邮件资料与电邮伺服器重复，因此，Michael建议用户暂时不要升级到MacOS Catalina。


图片来源：网络



3. iOS 13和iPadOS漏洞，第三键盘可窃取用户资料


苹果揭露，iOS 13与iPad OS存在严重漏洞，第三方键盘应用程式即使没有获得用户许可，也可以透过这个漏洞取得设备的存取权，窃取用户资料。而该漏洞只会在接下来的更新程序里进行修补，因此，苹果也呼吁用户别在程序更新前，安装第三方键盘。

图片来源：网络



4. Windows版iTunes和iCloud被勒索程式BitPaymer感染


安全公司Morphisec Lab发现，Windows版的iTunes与iCloud已被勒索程式BitPaymer入侵，该勒索程序利用存在于Windows Bonjour Updater的“不带引号的服务路径”（Unquoted service Path）零时差漏洞，对Windows PC用户散佈勒索程式。最恐怖的是，即使已经移除iTunes，相关城市依然可以透过残留的Bonjour Updater感染用户的电脑。


图片来源：网络



5. MacOS终端模拟器iTerm2存在重大漏洞，可让骇客执行恶意指令


Mozilla资助的安全审核MOSS（Mozilla Open Source Support Program）发现，MacOS终端模拟器iTerm2存在CVE-2019-9535漏洞长达7年之久，而这个漏洞可以让骇客在用户的电脑上执行恶意指令。目前，Mozilla、ROS与iTerm2开发人员正在密切合作，推出最新3.3.6版本以修补相关安全漏洞。


图片来源：网络



6. “Windows 10更新助手”出现可供骇客创建“完全用户权限”的账户


外媒Softpedia揭露，“Windows 10更新助手”存在一个安全漏洞，可让骇客执行具有SYSTEM特权的代码，同时创建具有“完全用户权限”的帐户。也有报道指出，相关漏洞是存在于Windows 10版本1803（2018年4月更新）或更高的版本。目前，微软已经发布最新版本的“更新助手”以解决相关漏洞，但用户需要手动安装更新版本。



图片来源：网络



7. 只需200美金设备就可破解硬件防火墙


1年前，《彭博商业周刊》爆出一则惊人消息，指黑客在苹果、亚马逊等公司使用的服务器植入米粒大小的芯片，以进行间谍活动。不过，上述公司当时强烈否认了相关消息。不过，在日前的CS3sthlm安全会议上，安全研究员Monta Elkins却在现场披露，黑客只需要在网上订购一个150美元的热风焊接工具、40美元的显微镜和一些2美元的芯片，就可以更改Cisco的防火墙，以获得服务器或电脑的深层控制权！

图片来源：网络



8. 政府利用SIM卡漏洞执行监控


行动网路资安业者AdaptiveMobile Security揭露，一个名为SimJacker的安全漏洞可让骇客借由含有S@T Browser指令的短讯，直接发送恶意程序，入侵目标Sim卡。更令人惊讶的是，Simjacker攻击是由一家私人企业与各国政府合作，对指定目标进行监控，而相关机构几乎每天都锁定和监控150个对象。如今，AdaptiveMobile已将此事提报给GSM协会与SIM联盟，建议电信营运商拦截含有S@T Browser指令的简讯，变更SIM卡的安全设定，同时停止使用S@T Browser技术。


图片来源：网络



9. 骇客组织发送具恶意程序的Word档攻击美国公用事业服务供应商



国外安全机构Proofpoint揭露，有骇客组织假冒美国工程许可委员会，向供应商的员工寄送鱼叉式网钓邮件，并附上一个开启后就会执行LookBack恶意程式的Word档。LookBack是个兼具命令控制（C&C）机制的远端存取木马程序，骇客可利用LookBack程式监视目标服务器、存取档案甚至是销毁电脑。据了解，现阶段已有17个供应商遭到攻击。




图片来源：网络



10. 黑客入侵IG，冒名发侵权警告信件


国外安全机构Sophos透露，黑客正在对Instagram（IG）用户展开网钓攻击，透过发送伪装成IG的侵权警告通知，威胁用户即将在24小时内关闭用户帐号，同时附上“着作权异议格式”（Copyright Objection Form）链接，让用户提出上诉。一旦用户进入链接，系统就会要求用户输入IG用户名称与与密码，从而骗取IG用户的登入凭证。



图片来源：网络



11. 低成本殭尸网路MasterMana


网路安全公司Prevailion发现，有不法分子使用“低成本殭尸网路MasterMana”进行网络金融诈骗，入侵用户的电子邮件并感染其系统打开后门，以窃取用户的资料。骇客透过MasterMana发送的邮件中都会附加受感染的档案，包括Word、Excel、PowerPoint与Publisher格式的文件。只要用户打开档案，就会透过Bitly链接转址到存有恶意JavaScript与VB脚本的部落格，并将用户的流量导向第三方网络服务Pastebin。


图片来源：网络




12. 强大木马Azorult居然只售100美金


根据网路安全公司Prevailion，一个名为Azorult的强大木马在网络平台仅售100美元（约420令吉）。这个木马不只可以窃取用户帐号密码、网络浏览记录、Cookies、加密货币钱包、档案、拍摄及截屏，还可以让黑客透过该木马执行矿工程式或勒索病毒！



图片来源：网络



13. Pulse Secure、Palo Alto和Fortinet VPN用户要小心APT攻击


英国国家网络安全中心（National Cyber Security Centre，NCSC）警告Pulse Secure、Palo Alto和Fortinet VPN用户，黑客正在使用该软件的APT（Advanced Persistent Threat）的漏洞进行攻击。透过APT，骇客可以在未经身份验证情况下，远端执行任何程式代码！


图片来源：网络




下载视频  
更多科技文章，请看：
谷歌Stadia游戏都支持4K60帧 官方：比PS4更稳定
DxOMark 音频评测 华为Mate 20 X横扫对手夺冠！
2019年谷歌Material Design Awards出炉！4大应用各有特色！
MacOS Catalina出问题！苹果呼吁暂缓更新！
Reno Ace超玩大会！Oppo发布首款游戏手柄

k7k

苹果不是最安全吗？

leouy

看了第一个就不用接下去看了