匿名人員洩露論壇軟體 vBulletin 零日漏洞，或影響數十億網際網路使用者

據 zdnet 報導，一名匿名安全研究員日前公佈了網際網路論壇軟體 vBulletin 零日漏洞的詳細資訊。

安全專家擔心，公佈此漏洞的詳細資訊可能會引發網際網路上的一波論壇黑客攻擊，導致黑客控制論壇安裝並大量竊取使用者資訊。

根據對已釋出程式碼的分析，零日允許攻擊者在執行 vBulletin 安裝的伺服器上執行 shell 命令。攻擊者不需要在目標論壇上註冊帳戶。用資訊保安術語來說，就是無需預認證遠端程式碼執行漏洞。關於該零日漏洞的細節已經完全在公眾訪問郵件列表披露。

正常情況下，當供應商未能修補私下報告的漏洞時，安全研究人員公佈未修補的安全漏洞的細節並不罕見。截至發稿時間，尚不清楚匿名研究人員是否向 vBulletin 團隊報告了該漏洞，或者 vBulletin 團隊是否未能及時解決該問題，從而促使研究人員公開。此外，這也可能是故意的惡意或破壞行為，匿名研究人員公開漏洞只是為了損害 vBulletin 公司的聲譽，並把客戶置於風險之中。

vBulletin 是當今最受歡迎的網路論壇軟體包，市場份額大於 phpBB、 XenForo、 Simple Machines Forum、 MyBB 等開源解決方案。

根據 W3Techs 的資料，大約 0.1% 的網際網路網站執行 vBulletin 論壇。這個百分比看起來很小，但它實際上影響了數十億網際網路使用者。Google dorks 透露，有數以萬計的 vbulletin 論壇在網際網路上執行，其中包括 Steam、EA、 Zynga、NASA、 Sony、BodyBuilding.com、the Houston Texans、the Denver Broncos 等。

所幸的是，該零日漏洞只對 vBulletin 5.x 論壇版本有效。如果客戶安裝最新的安全補丁，執行早期版本的論壇是安全的。

來源：站長之家

更多資訊

iOS 13 存第三方鍵盤漏洞，涉及違規獲取完整許可權

儘管蘋果已經發布了 iOS 13.1 來修復 iOS 13 存在的一些問題，但該公司還是分享了另一個系統漏洞，這個漏洞將在即將推送的軟體更新中修復。目前，即使使用者拒絕了應用的許可，但第三方鍵盤仍然可能有完全的許可權獲取使用者正在鍵入的內容。

來源：獵雲網
詳情：https://www.dbsec.cn/blog/article/5139.html  

參與涉約億人資訊黑客案，一俄籍男子認罪

據美國《商業內幕》網站 25 日報導，一名俄羅斯籍男子承認參與大規模黑客攻擊案，導致包括摩根大通在內的十多家美國公司的約一億人客戶資料被盜。36 歲的秋林周一在紐約承認了六項指控，其中包括電腦黑客陰謀和銀行欺詐。檢察官稱這是迄今為止發現的最大的黑客案件之一。

來源：環球時報
詳情：https://www.dbsec.cn/blog/article/5140.html 

保護規定將正式實施 讓兒童不再成為網路世界“透明人”

家住江蘇張家港的年輕媽媽孫女士，每當開學前後，就會隔三差五接到教育培訓機構的“問候”。這些培訓機構對她孩子的姓名、學校、年級等資訊瞭如指掌，連推薦的課程都有針對性。同樣，另一位年輕產婦丁女士今年剛生下寶寶不久，當地攝影館的“騷擾電話”就頻繁打進來，聲稱可以提供嬰兒理髮、製作胎毛筆、攝影等上門服務。

來源：中國青年報
詳情：https://www.dbsec.cn/blog/article/5142.html 

黑客建立虛假退伍軍人招聘網站 用惡意軟體感染受害者的電腦

據外媒 CNET 報導，思科 Talos 團隊週二表示，一個黑客組織建立了一個假裝幫助美國退伍軍人尋找就業機會的虛假老兵招聘網站，並通過惡意軟體感染受害者的電腦。Talos 團隊在部落格文章中稱，該網站名為 hiringmilitaryheroes.com，要求使用者下載一個偽造的安裝應用程式，該應用程式部署了惡意軟體和惡意間諜工具。

來源：cnBeta.COM
詳情：https://www.dbsec.cn/blog/article/5138.html

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視