第288期
你好~欢迎来到“安全头条”!如果是第一次光顾,可以先阅读站内公告了解我们。
欢迎新老客户参观。他们经常在文章底部交流和疯狂讨论。欢迎小安~如果您对本站的内容有更多建议,也欢迎在底部提出建议!
1、Screncastify插件存在安全隐患
Chrome扩展Screncastify存在严重的安全隐患,黑客可以接管摄像头权限并录制视频,目前已修复。
事实上,修复后的问题并没有完全解决,插件仍然有被内部人员接管和监控的风险。目前,插件的安装量超过1000万,因为1000万是统计上限,所以安装量只是高而不是低,这相当于将数千万人的隐私视频放在内部人员和合作机构,危害很大。
安全研究员将问题反馈给Screncastify,但尚未收到回复。[阅读原文]
2、美国参议院认为,报告过程阻碍了对抗勒索软件的抵抗
参议院国土安全和政府事务委员会主席加里彼得斯报告说,执法和监管机构缺乏获取勒索软件信息的能力,无法有效对抗。
他认为,联邦政府应该改进攻击和赎金支付报告机制,为政府提供更多的数据和信息,以对抗勒索软件的严重威胁。目前,该报告已分散到不同的联邦机构。即使全部收集,也只占实际规模的一小部分,导致勒索软件事故频发。不仅如此,他还认为,解决这个问题最重要的是确保加密货币仍在美国运作,以解决赎金支付问题,并帮助受害者迅速恢复。[阅读原文]
3、微软报告称,信用卡盗刷越来越隐秘
微软安全研究员观察到,与以往相比,信用卡盗窃刷更加秘密,这将成为安全防御的一大难点。
如今,信用卡盗窃中的代码混淆是很常见的。黑客研究了将图像注入脚本并伪装成流行网络的图像 逃避检测的骚操作,如app等。以此为例,安全研究人员解释说,黑客将恶意PHP代码(执行B64编码JS脚本)注入图像文件,然后将图像包含在网站中。脚本识别付款页面,提供虚假表单,窃取信用卡信息。为了逃避检测,我还把自己伪装成谷歌 Analytics等跟踪工具甚至抄袭了行为和参数,增加了额外的反调试机制,给分析带来了很多麻烦。最后,安全研究人员提醒大家,设定限额,改用电子支付才是正道。[阅读原文]
4、允许使用微软跟踪器的Duckgo与微软达成协议
在联合搜索内容合同中,Duckduckgo与微软达成协议,Duckduckgo将允许使用微软第三方网站跟踪器。
Duckduckgo以隐私保护而闻名,声称搜索时不会暴露内容和行为,也不会建立用户数据库进行个性化广告推送。尽管如此,当与微软合作时,微软广告仍将记录IP地址和其他会计目的的信息,但声称与广告无关。安全研究人员测试了大多数跟踪器。目前,Duckduckgo只允许微软跟踪器收集数据,其他跟踪器将被阻止。这在社区引起了轩然大波。公众开始质疑Duckduckgo与微软协议的安全性。Duckduckgo最近回答了社区的问题,称他们正试图从协议中删除这一限制,并确保用户信息的安全,微软没有发表评论。[阅读原文]
5、用目录补充CISA漏洞41条,包括移动终端漏洞
网络安全和基础设施安全局(CISA)继续在目录中补充41个漏洞,最早的漏洞是在16年内发现的,最近是上周更新的Cisco IOS XR漏洞。
重点是CVE-2022-20821刚刚提到的Cisco IOS CISA要求联邦机构在6月13日前修复XR漏洞、CVE-2021-1048和CVE-2021-0920两个Android漏洞。其他38个漏洞是黑客积极利用的,涉及微软、苹果、谷歌等多家公司的多种产品。这些漏洞必须在6月14日前修复。[阅读原文]
本文由安全客原创发布转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/273510安全客 – 有思想的安全新媒体,
相关文章
