本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,微信被曝高危0day漏洞,建议立即更新;工信部通报2021年第4批侵害用户权益APP名单;苹果发布会前夕产品图被盗,勒索团伙索要天价赎金;Facebook被爆新漏洞:可收集用户的电子邮件信息。想要了解详情,来看本周的BUF大事件吧!
观看视频
内容梗概
微信被曝高危0day漏洞,建议立即更新
上周末,微信PC版客户端被曝存在一个高危等级的在野0day漏洞。黑客只需要通过微信发送一个特制web链接,用户一旦点击链接,微信PC(windows)版进程wechatweb.exe便会加载shellcode执行,整个过程无文件落地,无新进程产生。相关安全团队检测出wechatweb.exe存在内存恶意代码,继而排查出了0day漏洞,并在第一时间报告腾讯安全应急响应中心并协助其修复漏洞。目前,微信已修复漏洞并发布了更新版本,建议大家立即将微信更新到3.2.1.141以上版本。
关于侵害用户权益行为的APP通报(2021年第4批)
依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规,工信部近期组织第三方检测机构对手机应用软件进行检查,重点督促游戏类、工具类存在问题的企业进行整改。截至目前,尚有包括皇室战争、大唐无双、御龙在天等93款APP未完成整改。另外广东省通信管理局也发现有45款APP未完成整改。工信部责令上述APP 4月29日前完成整改落实工作,逾期不整改将依法依规组织开展相关处置工作。 此外,在2021年第一季度检测中,腾讯应用宝、小米应用商店、OPPO软件商店、华为应用市场和vivo应用商店发现问题数量占比过高,存在上架审核不严格,存量问题清理不彻底,登记核验APP开发运营者信息不准确,误导用户下载等问题。工业和信息化部已督促相关平台企业进行全面整改,严格落实企业主体责任。
苹果发布会前夕产品图被盗,REvil勒索团伙索要天价赎金
美国时间4月20日上午,苹果公司以“Spring Loaded”为主题举行了春季发布会特别活动。 而就在发布会结束不久就有美国媒体披露,REvil勒索软件团伙已经进入了苹果供应商广达电脑公司的内部计算机,窃取了苹果的产品蓝图,并要求苹果公司在5月1日之前支付 5000 万美元赎金,否则他们将把此次盗取的产品蓝图以及数千兆的个人数据在网络上售卖。对此,苹果公司的一位发言人拒绝发表评论。然而,广达电脑公司承认了这次攻击,并表示它对其业务运营没有“实质性影响”。
Facebook被爆新漏洞:可收集用户的电子邮件信息
本月早些时候,有人在黑客论坛上放出了一个拥有 5.3 亿Facebook用户个人信息的数据集,随后Facebook承认存在本次数据泄漏并表示已经修复了这个漏洞。最近,一名安全研究人员发现了另一个漏洞。漏洞允许黑客从Facebook上刮取电子邮件地址,当用户将其隐私设置为“Only Me”以外的其他选项,利用该漏洞的工具就可以刮取电子邮件地址。安全研究员表示,该漏洞已经被报告给了Facebook,但他们并没有修复。