風(fēng)險漏洞 處處小心

Grammarly漏洞可能泄露用戶隱私文檔

Google Project Zero項目團隊發(fā)現(xiàn)Grammarly 公司所屬Chrome擴展中存在安全漏洞，該漏洞能向所有網(wǎng)站曝光用戶的令牌信息，意味著任意網(wǎng)站能夠訪問用戶的文檔數(shù)據(jù)。Grammarly公司已修復(fù)該漏洞。

Amazon Key漏洞致攝像頭無法正常使用

研究人員發(fā)現(xiàn)Amazon Key漏洞可能導(dǎo)致用戶攝像頭和門鎖無法正常使用，攻擊者可能通過從遠(yuǎn)程計算機對網(wǎng)絡(luò)執(zhí)行DDoS攻擊來使攝像頭無法正常使用。

CODESYS WebVisu產(chǎn)品現(xiàn)高危漏洞

Istury IOT研究員在3S-Smart Software Solutions的CODESYS WebVisu產(chǎn)品的Web服務(wù)器組件中發(fā)現(xiàn)一個基于堆棧的緩沖區(qū)溢出漏洞，允許用戶在Web瀏覽器中查看可編程邏輯控制器（PLC）的人機界面（HMI）。

漏洞

Hotspot Shield VPN產(chǎn)品被曝安全漏洞

安全研究人員發(fā)現(xiàn)名為Hotspot Shield的VPN產(chǎn)品存在一個嚴(yán)重安全漏洞，該漏洞允許未經(jīng)身份驗證的請求訪問本地Web服務(wù)器托管的JSONP端點，可能會泄露用戶敏感信息（如Wi-Fi網(wǎng)絡(luò)名稱、真實IP地址等）。

思科VPN高危漏洞多款產(chǎn)品受影響

思科發(fā)布一個補丁程序，旨在修復(fù)影響ASA設(shè)備的一個嚴(yán)重漏洞（CVE-2018-0101），該漏洞駐留在設(shè)備的SSL VPN功能中，可能會允許未經(jīng)身份驗證的攻擊者在受影響的設(shè)備上遠(yuǎn)程執(zhí)行代碼。

Adobe Flash曝零日漏洞

零日漏洞存在于Adobe Flash Player 28.0.0.161之前的版本中，能讓攻擊者通過網(wǎng)絡(luò)或郵件傳播包含惡意Flash內(nèi)容的Office文檔，獲得系統(tǒng)控制權(quán)、執(zhí)行任意代碼。微軟已發(fā)布一個編號KB4074595的新補丁。

思科修復(fù)ASA設(shè)備嚴(yán)重漏洞

在思科發(fā)布補丁后，研究人員發(fā)現(xiàn)該漏洞（CVE-2018-0101）還會引起拒絕服務(wù)，可能會對ASA平臺造成一定影響。思科于近期再次發(fā)布了一個安全更新。

Oracle的Micros POS機存高危漏洞

ERPScan團隊分析了Oracle公司Micros POS機中存在的高風(fēng)險安全漏洞，該漏洞允許攻擊者在未經(jīng)驗證的情況下對服務(wù)器數(shù)據(jù)庫進(jìn)行訪問和讀寫，以獲得用戶名和密碼，致使公司的整個業(yè)務(wù)數(shù)據(jù)都受到威脅。

Lazarus組織正在進(jìn)行網(wǎng)絡(luò)釣魚攻擊活動

McAfee研究人員發(fā)現(xiàn)網(wǎng)絡(luò)犯罪組織Lazarus正進(jìn)行網(wǎng)絡(luò)釣魚攻擊活動，該活動以比特幣為目標(biāo)，使用了具有長期影響力的復(fù)雜惡意軟件，用于長期的數(shù)據(jù)收集。

挖礦蠕蟲通過永恒之藍(lán)傳播高級加密礦工

安全公司CrowdStrike發(fā)現(xiàn)了一款名為WannaMine的新型Monero加密挖掘蠕蟲，其利用“永恒之藍(lán)”漏洞進(jìn)行傳播，WannaMine使用憑證收割機Mimikatz來收集用戶憑據(jù)，從而達(dá)到橫向移動的目的。CrowdStrike公司稱，目前一些礦業(yè)的日常運營已經(jīng)受到WannaMine的影響。

Chrome難抵惡意下載攻擊

研究人員發(fā)現(xiàn)“技術(shù)支持詐騙”攻擊也可作用在Chrome瀏覽器，攻擊者利用瀏覽器的Blob和msSaveblob接口，讓瀏覽器下載成千上萬個文件，使瀏覽器在數(shù)秒內(nèi)失去響應(yīng)。

僵尸網(wǎng)絡(luò)Smominru挖掘門羅幣

安全研究人員發(fā)現(xiàn)一個名為Smominru的新的全球僵尸網(wǎng)絡(luò)，瞄準(zhǔn)Windows系統(tǒng)，利用“永恒之藍(lán)”漏洞來傳播門羅幣挖礦。

利用下載網(wǎng)站分發(fā)Mac加密貨幣礦工

SentinelOne公司發(fā)現(xiàn)，黑客利用熱門軟件下載網(wǎng)站MacUpdate向Mac用戶分發(fā)名為 OSX.CreativeUpdate的加密貨幣挖掘礦工，通過劫持用戶設(shè)備的CPU秘密竊取門羅幣。

BeeToken郵件列表被攻擊

加密貨幣初創(chuàng)企業(yè)BeeToken被黑客入侵，攻擊者采用釣魚攻擊并成功盜走了部分Ethereum。該公司警告用戶謹(jǐn)慎使用電子郵件和Telegram軟件。

針對Linux系統(tǒng)發(fā)起的SSH暴力攻擊

GoSecure公司研究人員發(fā)現(xiàn)黑客組織正在對使用弱密碼保護(hù)的Linux系統(tǒng)發(fā)起SSH暴力攻擊，以部署一個名為Chaos的后門。據(jù)悉，該后門可能會被野外攻擊者用于全球范圍內(nèi)Linux服務(wù)器。GoSecure公司建議受感染的主機從一個可靠的備份中重新安裝，并提供一組新的憑據(jù)。

勒索軟件GandCrab勒索達(dá)世幣

LMNTRIX公司發(fā)現(xiàn)名為GandCrab的新型勒索軟件，該勒索軟件通過感染受害用戶系統(tǒng)以獲得達(dá)世幣（DASH）贖金，有黑客利用RIG及GrandSoft等開發(fā)工具包來分發(fā)該勒索軟件。

以上信息分別來源于“HackerNews”、“安全客”