首页 > 清静研究 > 清静转达 > 清静简讯

Lodash库爆出严重清静误差，，，，波及400万+项目；；；凌驾1300个Android APP纵然拒绝授权也网络用户信息

宣布时间 2019-07-12

1、Lodash库爆出严重清静误差，，，，波及400万+项目

研究职员Liran Tal披露Lodash库中的高危原型污染误差。。。Lodash是一个盛行的npm库，，，，仅在GitHub上就有凌驾400万个项目使用。。。该误差（CVE-2019-10744）影响了4.17.11版本之前的Lodash库，，，，大宗前端项目可能受影响。。。原型污染误差允许攻击者修改Web应用的JavaScript工具原型，，，，凭证Tal的说法，，，，Lodash库中的要领“defaultsDeep”可被用于添加或修改Object.prototype的属性，，，，这可能导致Web应用崩�；；；蚋谋淦湫形�。。Lodash将在下一个版本中修复该误差。。。

原文链接：https://thehackernews.com/2019/07/lodash-prototype-pollution.html

2、Apple暂时禁用Apple Watch对讲机功效，，，，保存窃听危害

凭证TechCrunch的一份报告，，，，由于保存可窃听他人的误差，，，，Apple已暂时禁用了Apple Watch的Walkie-Talkie功效。。。Walkie-Talkie是Apple Watch的对讲机功效，，，，允许用户无需拨打电话实时与朋侪举行攀谈。。。该误差的详细细节尚未披露，，，，Apple体现正在开发修复补丁，，，，Apple Watch上的Walkie-Talkie应用依然会保存，，，，但暂时无法使用。。。

原文链接：https://threatpost.com/apple-disables-walkie-talkie-app-due-to-eavesdropping-flaw/146410/

3、iMessage拒绝效劳误差，，，，可使iOS12.2及以下版本变砖

Google Project Zero披露iMessage中的拒绝效劳误差（CVE-2019-8664），，，，该误差影响了运行旧版本（iOS 12.2及之前）的iPhone装备，，，，攻击者通过向易受攻击的iOS装备发送恶意新闻，，，，可导致目的装备无法操作（变砖）。。。Apple在2019年5月13日宣布的iOS 12.3中修复了该误差。。。但凭证iOS版本跟踪公司Statcounter的数据，，，，阻止6月全球仍有47％的iOS装备运行在12.2及以下版本，，，，这意味着它们仍然易受攻击。。。

原文链接：https://threatpost.com/apple-patches-imessage-bug/146277/

4、Magecart使用设置过失的AWS S3熏染凌驾1.7万个网站

凭证威胁情报厂商RiskIQ宣布的一份报告，，，，自4月份以来Magecart使用设置过失的AWS S3存储桶已熏染凌驾1.7万个网站，，，，其中包括Alexa排名前2000的网站。。。攻击者主要扫描可果真会见的S3存储桶，，，，并在网站使用的JavaScript文件中注入恶意代码。。。攻击者并不总是知道这些JS文件被哪些项目或网站使用，，，，许多受熏染的JS文件并不会在支付页面上加载。。。

原文链接：https://www.zdnet.com/article/new-magecart-attacks-leverage-misconfigured-s3-buckets-to-infect-over-17k-sites/

5、凌驾1300个Android APP纵然拒绝授权也网络用户信息

最近的一项研究发明，，，，纵然用户拒绝了授权申请，，，，凌驾1300款Android APP依旧可以网络用户的信息。。。这项研究视察了来自Google Play市肆的凌驾8.8万个APP，，，，其中1325个APP被发明绕过了Android操作系统中的权限会见，，，，使用变通要领获取用户的小我私家数据，，，，例如从照片、Wi-Fi毗连等数据源中获取用户的位置信息。。。2018年9月，，，，研究职员就向谷歌反响了这个问题，，，，谷歌体现将在Android Q中解决这些问题。。。

原文链接：https://thehackernews.com/2019/07/android-permission-bypass.html

6、Pale Moon效劳器遭黑客入侵，，，，装置包被植入恶意代码

Pale Moon 浏览器开发团队宣布托管旧版软件的存档效劳器遭到黑客入侵，，，，导致旧版软件的装置包被植入恶意代码。。。该事务可追溯到2017年12月27日，，，，但该团队在7月9日才发明了这个问题。。。为避免恶意软件进一步撒播，，，，该团队连忙切断了该效劳器（archive.palemoon.org）的所有毗连。。。据悉存档效劳器中托管的所有版本的Pale Moon（最高版本为 27.6.2）均被熏染，，，，但该团队强调称用于分发最新版本软件的效劳器未受此次攻击事务的影响。。。

原文链接：https://www.bleepingcomputer.com/news/security/hackers-infect-pale-moon-archive-server-with-a-malware-dropper/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

凯发k8

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯发k8

清静研究

Lodash库爆出严重清静误差，，，，波及400万+项目；；；凌驾1300个Android APP纵然拒绝授权也网络用户信息

关于凯发k8

解决计划

清静研究

联系凯发k8

7*24小时效劳热线

软件升级

投资者关系

清静研究

Lodash库爆出严重清静误差，，，，波及400万+项目；；；凌驾1300个Android APP纵然拒绝授权也网络用户信息

7*24小时效劳热线

Lodash库爆出严重清静误差，，，，波及400万+项目；；；凌驾1300个Android APP纵然拒绝授权也网络用户信息