近日，火绒安全团队在用户现场截获一起利用阿里旺旺升级漏洞，通过HTTP劫持植入病毒的攻击事件，攻击者可利用该漏洞下发任意代码，阿里旺旺新、旧两个版本（买家版）均存在此漏洞。

经过技术分析，不排除运营商劫持的可能性，具体劫持情况火绒安全团队还在跟进中。为避免该漏洞被更大范围利用，火绒不便公开透露漏洞相关细节，只会向阿里相关技术部门提供详细漏洞分析内容。

巧合的是，通过阿里旺旺升级漏洞植入的病毒，与此前利用QQ升级程序漏洞植入的病毒有极高的同源性，推测为统一病毒团伙所做。

来源：火绒安全

 

近日安全研究人员发现，日本汽车厂商本田汽车一个包含全球所有员工信息的数据库，由于未设密码很可能会被人一览无余。这批陷遭暴露的数据包括几乎所有本田电脑相关信息。包含员工电子邮件、部门名称、本田机器主机名称、MAC位置、内网IP、操作系统版本、员工姓名、部门、员工编号、帐号、手机号码及最近登录时间。研究人员甚至发现本田CEO的完整电子邮件、全名、MAC位置、Windows操作系统版本、IP及设备类型。

研究人员通知本田后，后者已于当天封闭漏洞。本田表示，经过追查系统日志，未发现有任何遭到第三方人士下载的迹象，目前也没有数据外泄的证据。本田表示已做好相关强化，确保未来不会重蹈覆辙。

来源：hackernews

 

南非最大的城市兼金融中心，约翰内斯堡刚刚遭遇了一起针对 City Power 电力公司的勒索病毒攻击，导致一些居民区的电力中断。这家企业负责为当地居民提供预付费电力供应，但恶意软件加密了该公司的数据库、内部网络、Web Apps、以及官方网站。至于影响该公司电网的勒索病毒的名称，City Power 并未透露。

来源：cnBeta

 

谷歌旗下安全团队Project Zero的两名成员日前发现了6个影响iOS系统的“无交互”安全漏洞，并且公布了其中5个的详细信息和演示用攻击代码。

据悉，这6个安全漏洞可通过iMessage客户端发动攻击。苹果发布了iOS 12.4版，修复了这6个安全漏洞。但是，其中一个“无交互”漏洞的细节此次并未公布，是因为iOS 12.4补丁还没有完全解决问题。

据谷歌研究人员称，这6个安全漏洞中的4个可以导致在远程iOS设备上执行恶意代码，而无需用户交互。攻击者需要做的只是向受害者的手机发送一条“错误格式”的消息，一旦用户打开并查看接收到的项目，恶意代码就会被执行。而第5个和第6个漏洞允许攻击者从设备内存中泄漏数据，并从远程设备读取文件，同样无需用户干预。

来源：新浪科技

 

VxWorks 实时操作系统（RTOS）被广泛应用于行业内的计算机系统上，此次曝出的大型安全漏洞，很可能引发灾难性的后果。报道称，过去13年里，这些设备已存在不少于11个零日漏洞。遗憾的是， 由于RTOS设备属于电子设备领域的沉默工作者，媒体并没有对其加以广泛的关注。物联网安全研究机构Armis将这些漏洞统称为URGENT / 11，以敦促行业尽快更新机器的RTOS系统。其中六个比较严重的漏洞，或赋予攻击者远程代码执行的权限。Wind River已在7月19日发布的补丁中进行了修复。

来源：cnBeta