Lodash库爆出严重安全漏洞,波及400万+项目;超过1300个Android APP即使拒绝授权也收集用户信息

发布时间 2019-07-12
1、Lodash库爆出严重安全漏洞,波及400万+项目

 
研究人员Liran Tal披露Lodash库中的高危原型污染漏洞。Lodash是一个流行的npm库,仅在GitHub上就有超过400万个项目使用。该漏洞(CVE-2019-10744)影响了4.17.11版本之前的Lodash库,大量前端项目可能受影响。原型污染漏洞允许攻击者修改Web应用的JavaScript对象原型,根据Tal的说法,Lodash库中的方法“defaultsDeep”可被用于添加或修改Object.prototype的属性,这可能导致Web应用崩溃或改变其行为。Lodash将在下一个版本中修复该漏洞。

原文链接:https://thehackernews.com/2019/07/lodash-prototype-pollution.html

2、Apple临时禁用Apple Watch对讲机功能,存在窃听风险

 
根据TechCrunch的一份报告,由于存在可窃听他人的漏洞,Apple已临时禁用了Apple Watch的Walkie-Talkie功能。Walkie-Talkie是Apple Watch的对讲机功能,允许用户无需拨打电话实时与朋友进行交谈。该漏洞的具体细节尚未披露,Apple表示正在开发修复补丁,Apple Watch上的Walkie-Talkie应用依然会保留,但暂时无法使用。

原文链接:https://threatpost.com/apple-disables-walkie-talkie-app-due-to-eavesdropping-flaw/146410/

3、iMessage拒绝服务漏洞,可使iOS12.2及以下版本变砖


谷歌 Project Zero披露iMessage中的拒绝服务漏洞(CVE-2019-8664),该漏洞影响了运行旧版本(iOS 12.2及之前)的苹果设备,攻击者通过向易受攻击的iOS设备发送恶意消息,可导致目标设备无法操作(变砖)。Apple在2019年5月13日发布的iOS 12.3中修复了该漏洞。但根据iOS版本跟踪企业Statcounter的数据,截至6月全球仍有47%的iOS设备运行在12.2及以下版本,这意味着它们仍然易受攻击。

原文链接:https://threatpost.com/apple-patches-imessage-bug/146277/

4、Magecart利用配置错误的AWS S3感染超过1.7万个网站


根据威胁情报厂商RiskIQ发布的一份报告,自4月份以来Magecart利用配置错误的AWS S3存储桶已感染超过1.7万个网站,其中包括Alexa排名前2000的网站。攻击者主要扫描可公开访问的S3存储桶,并在网站使用的JavaScript文件中注入恶意代码。攻击者并不总是知道这些JS文件被哪些项目或网站使用,许多受感染的JS文件并不会在支付页面上加载。

原文链接:https://www.zdnet.com/article/new-magecart-attacks-leverage-misconfigured-s3-buckets-to-infect-over-17k-sites/

5、超过1300个Android APP即使拒绝授权也收集用户信息


最近的一项研究发现,即使用户拒绝了授权申请,超过1300款Android APP依旧可以收集用户的信息。这项研究调查了来自谷歌 Play商店的超过8.8万个APP,其中1325个APP被发现绕过了Android操作系统中的权限访问,使用变通方法获取用户的个人数据,例如从照片、Wi-Fi连接等数据源中获取用户的位置信息。2018年9月,研究人员就向GOOGLE反馈了这个问题,GOOGLE表示将在Android Q中解决这些问题。

原文链接:https://thehackernews.com/2019/07/android-permission-bypass.html

6、Pale Moon服务器遭黑客入侵,安装包被植入恶意代码


Pale Moon 浏览器开发团队宣布托管旧版App的存档服务器遭到黑客入侵,导致旧版App的安装包被植入恶意代码。该事件可追溯到2017年12月27日,但该团队在7月9日才发现了这个问题。为防止恶意App进一步传播,该团队马上切断了该服务器(archive.palemoon.org)的所有连接。据悉存档服务器中托管的所有版本的Pale Moon(最高版本为 27.6.2)均被感染,但该团队强调称用于分发最新版本App的服务器未受此次攻击事件的影响。

原文链接:https://www.bleepingcomputer.com/news/security/hackers-infect-pale-moon-archive-server-with-a-malware-dropper/