安全帮每日资讯：iPhone被曝14个安全漏洞 已存在两年；福建福昕通知客户服务器遭到黑客入侵

安全帮每日资讯

iPhone被曝14个安全漏洞已存在两年

据外媒报道称，安全团队Project Zero威胁分析小组（Threat Analysis Group）发现，iPhone存在14个安全漏洞，这些漏洞已经存在了两年。Project Zero表示，用户只要访问一个网站，就有可能让黑客获得信息、照片、联系人和位置信息。今年2月，苹果在一次软件更新中修复了这些漏洞，但显然不够这彻底。据Project Zero威胁分析小组（TAG）的说法，黑客利用14种不同的漏洞从iPhone上获取私人信息。其中一个漏洞允许攻击者访问私有消息。TAG指出，攻击者可以在受害者的手机上获得“未加密的、使用WhatsApp、Telegram和iMessage等流行的端到端加密应用程序发送和接收的信息的纯文本”的数据库文件。

参考来源：

https://tech.sina.com.cn/it/2019-08-31/doc-iicezueu2351614.shtml

福建福昕通知客户服务器遭到黑客入侵

福昕 PDF 阅读器和编辑器的开发商福建福昕软通知客户，黑客入侵了它的服务器访问了用户数据。在给受影响客户的邮件通知中，福昕称，未经授权的黑客访问了 My Account 区域，可能访问的用户数据包括了用户名 、电邮地址、企业名称、电话号码、用户账号密码和 IP 地址。它声称信用卡或其它支付信息没有暴露。福昕没有解释泄露的密码是否是加密或加盐还是明文储存，它建议用户下一次登陆时修改密码。

参考来源：

https://www.solidot.org/story?sid=61920

谷歌发布Chrome紧急补丁修复可执行任意代码的高危漏洞

面向Chrome用户，谷歌近日发布了一项紧急安全更新，修复了可以执行任意代码的漏洞。谷歌正向Windows、macOS和GNU/Linux平台上的Chrome浏览器进行推送，该更新标记为“urgent”（紧急），该漏洞允许黑客完全控制你的PC。援引外媒Lifehacker报道，这个漏洞是由互联网安全中心（Center for Internet Security）发现的，并敦促用户立即更新谷歌浏览器。

参考来源：

https://www.cnbeta.com/articles/tech/884547.htm

HackerOne已帮助六名黑客成为百万富翁

HackerOne近期表示，已有六位黑客，通过漏洞悬赏项目成为百万富翁。来自阿根廷的19岁少年Santiago Lopez，网站id为@try_to_hack，在2019年3月，他成为HackerOne第一个获得漏洞赏金超过100万美元的安全研究人员。他在属于Twitter、HackerOne、Automattic、Verizon、各类私营企业甚至美国政府的网络资产中发现了1676处安全漏洞。随后，来自英国的Mark Litchfield (@mlitchfield)、来自澳大利亚的Nathaniel Wakelam (@nnwakelam)、来自瑞典的FransRosen (@fransrosen)、来自中国香港的Ron Chan (@ngalog)和来自美国的Tommy DeVoss (@dawgyg)通过hackone的赏金项目，也成为了赏金超过百万美元的黑客。至此，全球一共6位黑客通过漏洞悬赏，从各大企业政府获取超过100万美元的奖励。

参考来源：

https://nosec.org/home/detail/2911.html

开源硬件虚拟化软件QEMU曝虚拟机逃逸漏洞

流行的开源硬件虚拟化包 QEMU 中被曝一个漏洞，可导致恶意人员执行“虚拟机逃逸”，允许攻击者突破 guest 操作系统并攻击 QEMU 所运行的主机操作系统。和2015年披露的 VENOM 漏洞一样，它可导致攻击者以和QEMU 同样的权限执行代码，或者导致 QEMU 进程完全崩溃。该漏洞的编号为CVE-2019-14378，依靠的是 QEMU 中的网络实现。

参考来源：

https://www.secrss.com/articles/13260

老版中国菜刀仍活跃于各大网络入侵中

在近期的多场网络攻击中，有多个参与者都还在使用webshell进行远程管理控制，尽管它已诞生了近十年，且一直没有得到更新（菜刀）。年龄已到9岁的webshell虽然已经很老(对于网络时代)，但活跃度依然不减。有研究人员表示，他们已经在最近的几次网络攻击中发现了这款工具的身影。Cisco Talos的研究人员Paul Rascagneres和Vanja Svajcer表示，这个名为“中国菜刀”(China Chopper)的工具可让攻击者通过客户端应用程远程控制已经沦陷的web服务器，客户端中包含控制机器所需的所有功能，非常容易使用。

参考来源：

https://nosec.org/home/detail/2916.html

俄罗斯版棱镜计划SORM的监控设备被曝数据泄露，监控点和目标暴露？

美国的棱镜计划想必各位很是熟悉，实际上，俄罗斯也同样存在类似的计划，而其被曝光的原因，主要是由于维基解密在特朗普的美国大选关键时刻公开大量被黑DNC电子邮件之后，维基解密创始人朱利安·阿桑奇被指控维基解密与俄罗斯有关联。说回SORM计划，虽然监控通信流量已成全球现象，然而每个国家的法律和技术框架不尽相同。俄罗斯的法律Yarovaya Law中并未明确界定合法监听与国家情报机构未获法院命令而实施的大规模监控。实际上，俄罗斯法律还要求通信提供商安装俄罗斯联邦安全局(FSB)自费提供的SORM监控组件。8月25日Chaos Constructions安全会议的一次谈话中，一位名叫Leonid Evdokimov的俄罗斯安全研究员透露，俄罗斯当局用来拦截互联网流量的硬件设备一直在互联网上泄露数据。Evdokimov称，其发现在20个俄罗斯互联网服务提供商的网络上安装的30个SORM设备中，这些服务器运行的FTP服务器没有密码保护。

参考来源：

https://nosec.org/home/detail/2915.html