一、英偉達存在嚴重的Windows圖形驅動程式漏洞
圖形芯片製造商英偉達對Windows用戶提供的GPU顯示驅動中的兩個高度嚴重性缺陷進行了修復。攻擊者可以利用該漏洞在受影響的Windows遊戲設備中查看敏感數據,獲得升級權限或發起DoS攻擊。
英偉達的Windows圖形驅動程式(GPU)適用於發燒級遊戲玩家的設備,它是使設備的操作系統和程式能夠使用其高級遊戲優化的圖形硬體的軟體組件。其中一個漏洞CVE-2020-5962存在於Nvidia Control Panel組件中,該組件可以對圖形驅動程式設置以及系統上安裝的其他實用程式的進行控制。根據英偉達週三的安全公告,該漏洞可能允許有本地系統訪問權限的攻擊者破壞系統文件,這可能會導致DoS或權限升級。另一個漏洞(CVE-2020-5963)存在於英偉達發明的計算平台和編程模型CUDA驅動中。該問題源於驅動程式的進程間通信API中的不當訪問控制。它可能導致代碼執行、DoS或訊息洩露。
二、國際版抖音窺探蘋果用戶的剪貼板數據?
蘋果iOS 14更新中的一項新的隱私功能曝光了TikTok(國際版抖音)讀取iPhone用戶剪貼板數據的做法,儘管抖音曾在3月份表示過將停止這種行為。
該發現是德國軟體工程師Tommy Mysk在2月份調查的結果,他發現任何臨時儲存到iPhone或iPad內存的剪貼板數據都可以被安裝在特定設備上的所有應用訪問,甚至是惡意應用。
在目前的iOS測試版中,只要有黏貼操作發生,就會出現警報:以橫跨設備螢幕頂部的橫幅形式出現。在這一版本發佈後不久,TikTok的用戶就開始報告說,這款應用似乎在不斷讀取用戶的剪貼板,儘管官方在3月份告訴英國《電訊報》,他們將在“幾週內”結束這種做法。
然而在本週iOS 14更新後,其他幾家新聞機構和用戶報告稱TikTok仍然在窺探用戶剪貼板,當應用程式運行時,隱私橫幅反復出現在用戶螢幕上。
對此,TikTok向《電訊報》表示,該應用並沒有從剪貼板中收集數據,而是通過自定義系統識別重複的垃圾行為來觸發iOS隱私橫幅。該公司表示,將在未來的更新中糾正這一問題。
三、谷歌分析被用作數據洩露的渠道
網路不法分子使用web skimming並非新鮮事,這是一種用於獲取網購用戶支付數據的常見方法。然而,我們的安全專家近期發現了一種更加新穎的攻擊方式,它利用谷歌分析(Google Analytics)來滲漏出竊取的數據。
這種攻擊方式的基本思想是,攻擊者在目標網站注入惡意代碼。他們可以暴力破解(或者竊取)管理員帳號密碼,利用內容管理系統(CMS)或其第三方插件的安全漏洞,也可以通過實現方式不安全的輸入表單來實現注入。
注入的惡意代碼會記錄用戶的各種行為(包括輸入的銀行卡訊息)並將訊息發送給攻擊者。因此,大多數情況下,web skimming可以歸為一種跨站腳本攻擊(Cross-site scripting)。
如今,幾乎所有的網站都會小心翼翼監視訪問者相關數據,在線商店當然也不例外。實現這一功能最便捷的工具便是谷歌分析(Google Analytics),它允許基於設置參數收集各種訊息。目前大約290萬網站在使用谷歌分析,在線商店網站有極高的可能在CSP頭部允許數據傳輸至谷歌分析。點擊了解更多,查看更多攻擊技術細節和妥協指標。
四、Zoom更新0版本,更高的安全性
不久前,我們解釋瞭如何配置Zoom以提高其安全性,Zoom的開發人員也給應用程式進行了數據保護改造,與新冠病毒前的版本相比5.0版本發生了很大變化。
Zoom 5.0版本的主要新功能:
- 方便的安全設置:您可以限制用戶權限,以及在螢幕快照和音頻記錄中添加水印等方式增加使用過程中的安全性。
- 防釣魚保護:密碼和等待室功能現已默認啟用,同時也可以防止參與者重命名自己,付費用戶還可以要求成員提供身份訊息。
- 數據路由:Zoom的數據路由方法也已改變,您的視頻通話不會被錯誤地路由到中文或其他外部伺服器。
- 更新的加密:開發人員升級了加密算法,加密金鑰更長更可靠,並且會檢查傳輸數據的完整性。
- 端到端加密: ZOOM宣布將向所有人提供端到端加密,防止在視頻通話中的竊聽。
新版本有更多的選擇能讓您根據自己的要求設置電話會議。但是絕對的安全是不存在的,所以如果您使用Zoom,請務必留意更新並立即安裝。