存在多年的 Linux 漏洞被發現：可通過 WiFi 攻擊目標計算機

一位安全研究人員表示，由於 Linux 中存在的嚴重安全漏洞能導致使用 WiFi 訊號的附近裝置崩潰，或者完全被黑客掌控。名叫  Nico Waisman 的安全研究人員發推文稱，該漏洞位於 RTLWIFI 驅動程式中，而該驅動程式用於在 Linux 裝置上支援 Realtek WiFi 晶片。

據悉當具有 Realtek Wi-Fi 晶片的計算機在惡意裝置的無線電範圍內時，該漏洞將會在 Linux 核心中觸發緩衝區溢位問題。該漏洞不僅可以引起作業系統崩潰，而且還允許黑客完全掌控計算機。該缺陷可追溯到 2013 年釋出的 Linux 核心的 3.10.1 版本。

GitHub 的首席安全工程師 Nico Waisman 表示：“這個漏洞非常嚴重，只要你使用 Realtek（RTLWIFI）驅動程式，此漏洞就可以通過 Linux 核心上的 Wi-Fi 遠端觸發溢位。”漏洞跟蹤為 CVE-2019-17666。Linux開發人員在星期三提出了一個修復程式，很可能在未來幾天或幾周內將其合併到 OS 核心中。只有在此之後，該修補程式才能進入各種 Linux 發行版。

Waisman 表示目前還沒有設計出一種概念驗證攻擊來利用該漏洞在受影響的裝置上執行惡意程式碼。不過他表示：“我仍在試圖探索，這肯定會......花一些時間（當然，這或許是不可能的）。在表面上，是應該被利用的溢位。最壞的情況是，是拒絕服務；最好的情況是，你得到了 shell。”

在該漏洞公開之後，該研究專家沒有繼續在推特上研究這個漏洞。

來源：cnBeta.COM

更多資訊

入侵 20 名開發者帳號就可能危及半數 NPM 生態系統

根據一項研究，NPM JS 庫生態系統比大多數人想象的更相互交織。德國的研究人員分析了 NPM 生態系統的依賴圖，他們下載了 2018 年 4 月前釋出的所有 NPM JS 包的後設資料，建立了一幅巨大的依賴圖。

來源：solidot.org
詳情連結：https://www.dbsec.cn/blog/article/5259.html 

Apple TV 4K 機頂盒拆解有驚喜 乙太網埠竟暗藏 Lighting 聯結器

對 Apple TV 4K 展開的深入拆解表明，蘋果竟然在這款流媒體機頂盒的乙太網埠中，暗藏了一個 Lighting 端子。外媒猜測，該聯結器可提供直接訪問系統關鍵部件的途徑。在 iFixit 2017 年對 Apple TV 4K 的拆解回顧中，Apple TV 硬體和 tvOS 專家 Kevin Bradley（Twitter 網名 nitoTV），在其 PCB 板上發現了與蘋果 Lighting 聯結器協議相對應的焊點。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5260.html 

Google Chrome 77 引入新的網站隔離安全特性

隨著 Chrome 77 的釋出，谷歌也為 Android 和桌面版本引入了全新的站點隔離安全特性。此前，當熔燬（Meltdown）和幽靈（Spectre）漏洞被披露的時候，谷歌就快速推出了這項安全特性，以便 Chrome 67 使用者啟用。開啟之後，Chrome 瀏覽器將把使用者訪問的每個網站，都載入到單獨的沙盒程式中，以限制其對資源和功能的訪問。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5261.html 

內蒙古一中學學生資訊洩露，警方調查竟發現被人倒賣！

今年以來，包頭市第二十九中很多學生家長總是能接到多家教育機構的電話推銷，這些教育機構是如何得知家長的個人資訊的?警方偵查發現，這些教育機構都是通過微信購買的學生通訊錄資訊。

來源：內蒙古晨報
詳情連結：https://www.dbsec.cn/blog/article/5261.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視