火绒安全周报:前员工黑进特斯拉内部 苹果"快速查看"功能存安全漏洞
1、特斯拉起诉前员工:黑进内部生产系统 盗取并泄露机密数据
6月21日,据美国内华达州联邦法庭公布的诉讼文件显示,特斯拉起诉了前技术人员。该员工承认曾开发恶意软件进入特斯拉内部生产操作系统,偷取大量数据并交给第三方,还向媒体发表不实言论。这些被泄露的数据包括"数十份有关特斯拉的生产制造系统的机密照片和视频"。
(消息来源:新浪科技)
2、苹果电脑"快速查看"存在漏洞 或可泄密加密数据
本月初,安全研究员指出苹果的"快速查看"功能存在安全漏洞,该机制可生产并缓存文件、图像、文件夹和其他数据的缩略图,以便macOS快捷访问,这个功能允许Mac用户快速通过敲击空格键来预览上述提及信息。
"快速查看"的缓存功能也适用于外部的USB驱动器,缩略图保存在主机的启动驱动器上。研究员进一步指出,尽管"快速查看"漏洞不会泄露给定文件的全部内容,但其提供的部分内容足够为不法分子或机构利用。
在没有官方补丁的情况下,担心敏感数据可能会泄露的用户可以在使用qlmanage实用程序卸载容器时选择手动删除"快速预览"缓存。
(消息来源:新浪科技)
3、谷歌改口,将修复地理位置信息泄露问题
来自安全公司 Tripwire 的研究者表示,黑客只需在后台运行一个简单的脚本,就能从谷歌Google Home 或 Chromecast 电视棒上,旗下两款火爆产品中轻易获取使用者地理位置。
安全人员表示:"黑客完全可以进行远程攻击,只要能让受害者连接在相同 Wi-Fi 或有线网络上的产品,打开一个链接就行。不过,这种攻击方法有其局限性,因为这个至关重要的链接至少要开启一分钟以上,攻击者才能拿到精确的地理位置信息。"谷歌方面表示,将在未来几周内修复该产品的信息泄露问题。
(消息来源:雷锋网)
4、前 CIA 雇员被指控向维基解密泄露黑客攻击工具,可攻击手机、计算机、电视
本周周一,前中央情报局雇员被指控窃取了国防信息,并向维基解密泄露了黑客工具。由起诉书可知,2016 年的时候,该雇员从一个 CIA 网络中窃取了机密信息,然后将之传输给了起诉书中未被确认的某个组织。维基解密将这批泄露信息称作"七号金库"(Vault 7),披露美国中央情报局借助这些工具来入侵手机、计算机和电视。美国司法部官员称,本次泄密事件让美国国家安全处于危险境地。
(消息来源:cnBeta)
5、谷歌开发人员发现多款浏览器中存在严重漏洞:远程窃取用户信息
近日,谷歌研究人员在多款浏览器中发现了一个严重漏洞,可允许远程攻击者读取用户的Gmail或私人Facebook消息。
出于安全原因,现代网页浏览器不允许网站向不同的域发出跨源请求,然而,当浏览器在获取其他来源的媒体文件时,允许你访问的网站无限制地加载来自不同域的音频或视频文件,存在极大安全隐患。目前,FireFox和Edge浏览器在其最新版本中已经修复了该漏洞。
(消息来源:thehackernews)