首页 > 安全钻研 > 安全传递 > 安全简讯

Lodash库爆出严沉安全缝隙，波及400万+项目；超过1300个Android APP即便回绝授权也网络用户信息

颁布功夫 2019-07-12

1、Lodash库爆出严沉安全缝隙，波及400万+项目

钻研人员Liran Tal披露Lodash库中的高危原型传染缝隙。Lodash是一个盛行的npm库，仅在GitHub上就有超过400万个项目使用。该缝隙（CVE-2019-10744）影响了4.17.11版本之前的Lodash库，大量前端项目可能受影响。原型传染缝隙允许攻击者批改Web利用的JavaScript对象原型，凭据Tal的说法，Lodash库中的步骤“defaultsDeep”可被用于增长或批改Object.prototype的属性，这可能导致Web利用崩�；蚺ぷ湫形�。Lodash将鄙人一个版本中建复该缝隙。

原文链接：https://thehackernews.com/2019/07/lodash-prototype-pollution.html

2、Apple一时禁用Apple Watch对讲机职能，存在窃听风险

凭据TechCrunch的一份汇报，由于存在可窃听他人的缝隙，Apple已一时禁用了Apple Watch的Walkie-Talkie职能。Walkie-Talkie是Apple Watch的对讲机职能，允许用户无需拨打电话实时与伴侣进行交谈。该缝隙的具体细节尚未披露，Apple暗示在开发建复补丁，Apple Watch上的Walkie-Talkie利用依然会保留，但临时无法使用。

原文链接：https://threatpost.com/apple-disables-walkie-talkie-app-due-to-eavesdropping-flaw/146410/

3、iMessage回绝服务缝隙，可使iOS12.2及以下版本变砖

Google Project Zero披露iMessage中的回绝服务缝隙（CVE-2019-8664），该缝隙影响了运行旧版本（iOS 12.2及之前）的iPhone设备，攻击者通过向易受攻击的iOS设备发送恶意新闻，可导致指标设备无法操作（变砖）。Apple在2019年5月13日颁布的iOS 12.3中建复了该缝隙。但凭据iOS版本跟踪公司Statcounter的数据，截至6月全球仍有47％的iOS设备运行在12.2及以下版本，这意味着它们依然易受攻击。

原文链接：https://threatpost.com/apple-patches-imessage-bug/146277/

4、Magecart利用配置谬误的AWS S3习染超过1.7万个网站

凭据威胁谍报厂商RiskIQ颁布的一份汇报，自4月份以来Magecart利用配置谬误的AWS S3存储桶已习染超过1.7万个网站，其中蕴含Alexa排名前2000的网站。攻击者重要扫描可公开接见的S3存储桶，并在网站使用的JavaScript文件中注入恶意代码。攻击者并不总是知路这些JS文件被哪些项目或网站使用，很多受习染的JS文件并不会在支付页面上加载。

原文链接：https://www.zdnet.com/article/new-magecart-attacks-leverage-misconfigured-s3-buckets-to-infect-over-17k-sites/

5、超过1300个Android APP即便回绝授权也网络用户信息

最近的一项钻研发现，即便用户回绝了授权申请，超过1300款Android APP仍旧能够网络用户的信息。这项钻研调查了来自Google Play商店的超过8.8万个APP，其中1325个APP被发现绕过了Android操作系统中的权限接见，使用变通步骤获取用户的幼我数据，例如从照片、Wi-Fi衔接等数据源中获取用户的位相信息。2018年9月，钻研人员就向谷歌反馈了这个问题，谷歌暗示将在Android Q中解决这些问题。

原文链接：https://thehackernews.com/2019/07/android-permission-bypass.html

6、Pale Moon服务器遭黑客入侵，装置包被植入恶意代码

Pale Moon 浏览器开发团队颁发托管旧版软件的存档服务器遭到黑客入侵，导致旧版软件的装置包被植入恶意代码。该事务可追忆到2017年12月27日，但该团队在7月9日才发现了这个问题。为预防恶意软件进一步传布，该团队当即堵截了该服务器（archive.palemoon.org）的所有衔接。据悉存档服务器中托管的所有版本的Pale Moon（最高版本为 27.6.2）均被习染，但该团队强调称用于分发最新版本软件的服务器未受这次攻击事务的影响。

原文链接：https://www.bleepingcomputer.com/news/security/hackers-infect-pale-moon-archive-server-with-a-malware-dropper/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Lodash库爆出严沉安全缝隙，波及400万+项目；超过1300个Android APP即便回绝授权也网络用户信息

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

Lodash库爆出严沉安全缝隙，波及400万+项目；超过1300个Android APP即便回绝授权也网络用户信息

7*24幼时服务热线

Lodash库爆出严沉安全缝隙，波及400万+项目；超过1300个Android APP即便回绝授权也网络用户信息