攻擊者宣稱可利用 0day 漏洞完全控制 Android 手機

谷歌 ProjectZero 研究小組一名成員週四晚表示，攻擊者正在利用谷歌 Android 移動作業系統中的零日漏洞，使他們完全控制至少 18 種不同手機，包括 4 種不同型號的谷歌 Pixel 手機。

Maddie Stone 在帖子中說，有證據表明漏洞利用者 NSO Group 或其客戶之一正在積極利用該漏洞。漏洞利用幾乎不需要定製即可完全紮根易受攻擊的手機。可以透過兩種方式利用此漏洞：

（1）當目標安裝不受信任的應用程式時，

（2）透過將此漏洞與針對chrome瀏覽器用於呈現內容程式碼的漏洞攻擊結合使用。

Maddie Stone 表示，該漏洞是一個本地特權升級漏洞，它可以完全破壞易受攻擊的裝置，受此漏洞影響的裝置如下：

• Pixel 1
• Pixel 1 XL
• Pixel 2
• Pixel 2 XL
• 華為 P20
• 紅米5A
• 紅米 Note 5
• 小米A1
• Oppo A3
• Moto Z3
• Oreo LG phones
• 三星 S7
• 三星 S8
• 三星 S9

谷歌 Android 團隊表示，谷歌 10 月 Android 安全更新將修補此漏洞，該更新可能會在未來幾天內釋出給 Pixel 系列手機使用者。修補其他裝置的時間表尚不清楚。Pixel 3 和 Pixel 3a 裝置不受影響。

來源：cnBeta.COM

更多資訊

微軟向 Windows Update 推送 KB4524147 更新 修復 IE 零日漏洞

十天前，針對一個新的 IE 遠端程式碼執行漏洞，微軟透過 Update Catalogue 釋出了修復更新。但是現在，該公司似乎有足夠的信心向所有受支援的 Windows 10 版本推送，有需要的使用者可直接透過 Windows Update 獲取更新。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5190.html 

FBI 正調查 2018 年投票應用駭客行為是否與密歇根大學課程相關

三名知情人士告訴美國有線電視新聞網（CNN），試圖入侵2018年中期選舉中使用的移動投票應用程式可能是高校學生在研究安全漏洞，而不是試圖更改任何選票。西弗吉尼亞州南區美國律師邁克·斯圖爾特（Mike Stuart）在週二的新聞釋出會上透露，Voatz 投票應用遭遇一次不成功的入侵程式，聯邦調查局的調查“正在進行中”。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5191.html 

俄羅斯聯邦儲蓄銀行調查信用卡資料洩露

俄羅斯最大的儲蓄銀行（Sberbank）正在調查一起疑似信用卡資料洩露事件，稱僱員的“犯罪行為”可能是洩露的主要原因。該銀行表示，正在進行內部調查，可能會影響至少200個客戶帳戶。 

來源：ZDNet
詳情連結：https://www.dbsec.cn/blog/article/5192.html 

EA 網站 snafu 洩露 1600 名 FIFA 20 職業玩家的資料

遊戲公司 Electronic Arts（EA）修復了一個網站故障，該故障不小心洩露了大約 1600 位在其網站上註冊的使用者的個人詳細資訊。該網站用於 EA 的 FIFA 20 全球系列賽，這是該公司最近推出的 FIFA 20 足球主題遊戲的競爭性比賽。

來源：介面
詳情連結：https://www.dbsec.cn/blog/article/5193.html 

（資訊來源於網路，安華金和蒐集整理）