Windows 10 更新助手中的安全漏洞為黑客開啟大門

據外媒 Softpedia 報導，微軟 Windows 10 更新助手中的一個安全漏洞使攻擊者可以執行具有 SYSTEM 許可權的程式碼。CVE-2019-1378 中記錄了這個許可權提升漏洞。微軟解釋說，攻擊者最終可以建立具有完全使用者許可權的帳戶，最終獲得訪問許可權以丟棄其他有效負載並控制裝置。

微軟表示：“Windows 10 更新助手以處理許可權的方式存在一個許可權提升漏洞。經過本地身份驗證的攻擊者可以以更高的系統許可權執行任意程式碼。成功利用此漏洞後，攻擊者可以安裝程式；檢視、更改或刪除資料；或建立具有完全使用者許可權的新帳戶。”

該漏洞由 Jimmy Bayne 發現並報告給微軟，無論安裝了哪個版本的 Windows 10，該漏洞都存在於 Windows 10 更新助手中。

外媒指出，某些計算機在安裝 KB4023814 更新之後最終會執行 Windows 10 更新助手。但是，此更新僅適用於執行 Windows 10 版本 1803（2018 年 4 月更新）及更高版本的裝置，並且專門用於準備升級到 Windows 10 版本 1903（2019 年 5 月更新）。

另一方面，如果手動安裝了更新工具，則在 Windows 10 版本 1903 上執行 Windows 10 更新助手的裝置也容易受到攻擊。

微軟已經發布了新版本的更新助手來解決此漏洞，建議使用者儘快安裝它。修復此漏洞的唯一方法是手動安裝此新版本，至少要將此安裝到通過 Windows Update 自動傳送到裝置的新更新中。完全刪除 Windows 10 更新助手顯然也可以阻止攻擊。

微軟表示，該漏洞是祕密披露的，被利用的可能性較小，目前還沒有關於該漏洞被攻擊者利用的報導。

來源：cnBeta.COM

更多資訊

蘋果更新 Windows 版 iTunes 修補了勒索軟體攻擊漏洞

蘋果已經修補了之前在 iTunes 和 Windows 版 iCloud 中被發現的 Bonjour 漏洞，以避免勒索軟體繼續發動攻擊。該漏洞實際上允許惡意軟體在 Windows 中執行，看起來它是一個受信任的應用程式。精心設計的攻擊者可以利用 iTunes 和 Bonjour 數字簽名，繞過系統針對惡意軟體的防護。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5226.html 

註冊 20 萬個假賬號薅走奶粉兩萬多桶 90 後男子獲刑

一名 90 後男子針對某一 App 購買奶粉買一送一的優惠活動，竟註冊了 20 萬個賬號，利用技術漏洞“薅”走兩萬多桶奶粉，非法獲利六萬餘元。

來源：央視新聞
詳情連結：https://www.dbsec.cn/blog/article/5227.html 

Google Play 商店發現能夠自行隱藏圖示的惡意廣告應用

總部位於澳大利亞的 SophosLabs 研究人員最近發現了 15 個應用程式，這些應用程式除了在 Android 裝置上積極展示廣告外似乎沒有其他作用。這些程式的名稱和產品描述，從 QR 閱讀器到影象編輯應用程式不等。使這些應用程式更加隱蔽的是，它們隱藏了自己的應用圖示，使它們更難從手機中刪除。其中一些程式甚至在設定中使用不同的名稱和圖示來偽裝自己。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5228.html 

3 毛一份賬單 2 元一份明細 你的隱私值多少錢？

你的隱私值多少錢？據網路流傳的一份資料公司個人資訊報價表，3 毛能買到你在外賣平臺的基本資訊和賬單詳細資訊，2 元就能買到你在某主流購物平臺的交易明細及關聯賬號的借貸資訊……在幾乎人手一部智慧手機的時代，各種 APP 豐富了大眾的生活。一般下載完 APP 後，都會要求使用者授權讀取攝像頭、麥克風、地理位置等。

來源：中國新聞週刊
詳情連結：https://www.dbsec.cn/blog/article/5229.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視