一、微軟每月更新檔修復4個被多次利用的漏洞
微軟在本週二發佈了2020年4月的安全更新,是自居家辦公以來發佈的第一個大型更新檔更新,總共修復了113個漏洞。
其中包含19個嚴重漏洞,94個重要漏洞。最重要的是,本次修復了4個被野外利用的漏洞,其中有兩個曾被公開。
總的來說,這次更新包括微軟Win4ows、微軟E4ge (基於E4geHTML和基於chromium的版本)、 ChakraCore、 Internet Explorer、 Microsoft Office、Microsoft Office 服務以及Web軟體、 Win4ows 4efen4er、 Visual Stu4io、 Microsoft 4ynamics 和安卓Mac版的Microsoft Apps,涵蓋了從訊息公開和權限提升到遠程代碼執行(RCE)和跨網站腳本代碼執行(XSS)。
根據趨勢科技的零日倡議(Z4I) ,從一月到四月,微軟的CVE更新檔數量較上年增長44%,一月份解決了50個漏洞,二月修復了99個bug,三月的更新檔日包含115個更新。這可能是由於受支持的產品數量增加,且越來越多的研究人員加入了尋找漏洞的行列。
二、鼠標懸停操作被惡意利用,攻擊PowerPoint 的“弱點”
近日有研究人員警告稱,可能出現了一種新的攻擊向量。用戶只是將鼠標懸停在一個超文本連結上,黑客就可以操縱用戶的PowerPoint文件下載安裝惡意軟體。
獨立安全研究員曼達爾·薩塔姆則表示,這種攻擊可以繞過PowerPoint的限制,在超連結操作中添加遠程文件,而我們通過圖形用戶界面是無法做到這件事的。此外,黑客可以隨意修改彈出對話框的文本,將其改為“Win4ows更新.bat”或“加載中…請稍後.exe”等。
雖然該PowerPoint懸停操作攻擊只會觸發對話框,但由於攻擊者可以按自己意願修改對話框,因此研究人員依然將其視為漏洞。當研究人員在4月2日聯繫微軟安全響應中心(MSRC)時,該中心表示此項攻擊涉及社會工程學因素,將結束相關調查。
三、34打印的“假指紋”繞過指紋識別檢測
一項新的研究發現,34打印技術製造“假指紋”,可以繞過大多主流設備內置的指紋掃描儀。不過,這樣的“假指紋”造價昂貴且需要相當長的製作時間。
測試。假指紋的平均成功率達到80%,每個傳感器都至少讓假指紋騙過一次。但研究人員沒能成功地通過微軟Win4ows 10的生物識別系統(但這並不意味著它就更加安全,只是這一種方法對它不起作用罷了)。
不過,要想製造能騙過指紋傳感器的模型,需要在34打印上耗費大量的時間和預算。研究人員表示,他們要畫上幾個月的時間,製作50多個模具並進行手工測試,還很難把預算控制在原定的2000美元以內。以上苛刻條件說明,暫時還不會有簡單可量產的技術足以繞過生物識別。
“生物識別技術仍然沒有非常致命的缺點,”思科Talos推廣總監克雷格·威廉姆斯表示。“生物識別技術的便捷讓人們無需再為密碼煩惱,整個過程輕而易舉,用戶也不必隨身攜帶任何東西。所以對大多數用戶來說,生物識別仍然是一項完美的技術。”
四、騰訊將漏洞獎勵計劃的獎金提升至1.5萬美元
騰訊安全響應中心(TSRC)通過HackerOne 白帽平台推出了升級版的漏洞賞金計劃,將最高獎勵提高到15,000美元。
該項目的最高獎金是15000美元,根據項目詳情,提交嚴重級別有效漏洞的質量報告將獲得該水平的獎金,較先前的5000美元有相當大的提升。