風險漏洞 處處小心

Spectre1.1新變種曝光

麻省理工的安全研究人員揭露幽靈（Spectre）安全漏洞新變種（Spectre 1.1/ CVE-2018-3693）會產生投機性的緩沖區溢出，使得本地攻擊者可以在脆弱的系統上執行任意不受信任的代碼。

Mega文件存儲服務泄露數萬用戶帳戶憑據

研究人員現發現，新發現并擴散的VPNFilter惡意軟件已影響全球數千臺設備，這些設備還存在其他19個漏洞，這增強了VPNFilter惡意軟件的威脅。

Chrome修復幽靈漏洞 內存占用增多

谷歌宣布Chrome瀏覽器對Spectre漏洞進行了修復，以防止惡意代碼依靠漏洞執行加載到本地。但修復操作將在大型負載下多占用10%-13%運 行 內 存。Windows、Mac包括Chrome OS平臺的Chrome都在此次修復之列。

漏洞

Oracle全系產品7月關鍵補丁更新

Oracle官方發布今年7月關鍵補丁更新公告，修復了334個不同程度的漏洞。其中CVE-2018-2893漏洞由綠盟科技發現并提交，通過該漏洞，攻擊者可以在未授權的情況下遠程執行任意代碼。

Chrome瀏覽器頁面凍結bug死灰復燃

據Ars Technica報道，Google Chrome 65瀏覽器中的一個漏洞，竟再次被騙子利用，詐騙者利用凍結瀏覽器、同時試圖用虛假的報錯信息說服用戶“給微軟打電話”，以竊取信息，但該漏洞又在Chrome 67中出現。

Javascript惡意代碼被植入Exif參數中

Sucuri公司研究人員稱，黑客將Javascript代碼注入圖片Exif參數中， 被注入惡意軟件的圖片仍然會加載并正常工作，一旦用戶打開Word文檔，這些遠程圖像就會自動加載，任何下載圖片的用戶都會受到攻擊。

Ubuntu Launchpad被爆安全漏洞

Ubuntu Launchpad被爆存安全漏洞，機器進入低功耗模式后，任意用戶卸下硬盤就能繞過鎖屏界面，漏洞確認影響16.04.4版本，但不確認其他版本是否受影響。

OSX.Dummy惡意軟件在MacOS傳播

MacOS上傳播一種被稱為OSX.Dummy的新型惡意軟件，攻擊者通過欺騙和引導用戶下載和執行惡意二進制文件，如果文件被執行，且惡意軟件連接到對手的C2服務器（命令控制服務器），攻擊者就可以控制目標系統。

新銀行木馬竊取證書、密碼等敏感信息

思科Talos安全團隊發現新銀行木馬，通過散布看似軟件公司開出的賬單請求，實則為惡意軟件的釣魚郵件，從而竊取受害者銀行證書、密碼和其他敏感信息。

針對比特幣的惡意軟件感染百萬用戶僵

據外媒cointelegraph報道，一款針對比特幣用戶的惡意軟件已經感染了230萬個目標用戶，該軟件被稱為“剪貼板劫機者”，將會秘密在后臺運行，并且將用戶復制到剪貼板中的比特幣地址替換為攻擊者的地址，用戶就會在不知不覺中粘貼錯誤地址并為攻擊者發送加密貨幣。

Red Hat發布內核更新修復BUG

Red Hat宣布面向Red Hat Enterprise Linux（RHEL）7 和 CentOS Linux 7操作系統推出全新的內核更新來修復一個嚴重的BUG,該BUG導致偶爾會發生數據接連丟失情況。

APT竊取D-Link數字證書簽署惡意軟件

ESET公司發現，APT組織濫用從D-Link網絡設備制造商和安全公司竊取的有效數字證書簽署其惡意軟件，偽裝成合法應用程序。

惡意軟件偽裝成游戲作弊外掛

游戲軟件Rainway報道，有惡意軟件偽裝成自瞄功能的外掛軟件，有嘗試使用作弊外掛的《堡壘之夜》玩家感染惡意軟件被劫持用于中間人攻擊，注入各類惡意廣告或者惡意網址。

銀行惡意軟件Dorkbot復出

據Check Point公司稱，已有6年歷史的銀行惡意軟件Dorkbot在2018年重新出現，如今Dorkbot是一種木馬，使用網絡注入竊取用戶的憑據。

iOS 12驗證碼自動填充功能存在隱患

蘋果公司iOS 12的“安全碼自動填充”功能通過自動讀取短信中的驗證碼，可節省在Safari等應用中手動輸入表單的麻煩。但安全專家稱，讓用戶驗證這一重要信息，正是出于安全的考量。移除這一過程，會使它變得無意義，容易讓用戶和銀行都暴露于別有用心的攻擊者面前。

Rakhni木馬被改造后變身勒索軟件

2013年被發現的Rakhni木馬被改造成為勒索軟件，黑客使用該勒索軟件加密或礦工感染受害者，其通過電子郵件垃圾郵件活動進行分發，一旦受害者點擊，它就會啟動惡意可執行文件。

以上信息分別來源于“HackerNews”、“安全客”、“安全加”、“安天”