研究發現從 Stack Overflow 複製程式碼的習慣導致 GitHub 專案安全性下降

現在從網上找程式碼直接複製到專案中的做法成為程式設計師的一種常規操作，Stack Overflow 更是其中主要的程式碼來源。但是最近有研究顯示，從 Stack Overflow 上覆制程式碼湊到專案中會使出現漏洞的機率大大增加。

研究人員分析了 1325 個 Stack Overflow 帖子，並獲取了其中 72000 多段 C++ 程式碼，發現了其中包含有 29 種型別的 69 個漏洞。

這些漏洞出現在 2589 個 GitHub 倉庫中，研究人員通知了受影響的 GitHub 專案作者，但只有少數人選擇修復已知這些危險情況。

研究人員展示了含有漏洞的程式碼主要是以什麼方式從 Stack Overflow 進入到 GitHub 中的，包括最經常發現的輸入驗證不正確、異常或異常情況的不正確檢查與錯誤編碼，比如複製程式碼不完整。

來源：開源中國

更多資訊

南非約翰內斯堡再次遭到勒索軟體攻擊

南非最大城市約翰內斯堡今年 7 月因勒索軟體攻擊而導致部分居民失去電力供應，現在它又一次成為勒索軟體攻擊的目標。自稱 Shadow Kill Hackers 的駭客組織在用勒索軟體感染市政府的內部網路之後索要 4 比特幣的贖金，要求在 10 月 28 日當地時間下午 5 點前轉出。

來源：solidot.org
詳情連結：https://www.dbsec.cn/blog/article/5306.html 

騰訊安全：首次攻破超聲波屏下指紋識別技術

10月27日上午訊息，在近日召開的GeekPwn 2019國際安全極客大賽上，騰訊安全玄武實驗室披露了指紋識別領域的最新研究——自動化破解多種型別指紋識別。騰訊方面表示，該研究透過提取使用者在日常生活中留存的指紋，自動化進行克隆復原，進而透過各種指紋裝置的驗證。

來源：新浪科技
詳情連結：https://www.dbsec.cn/blog/article/5307.html 

Adobe 暴露了 750 萬線上 Creative Cloud 使用者記錄

網際網路上的 Elasticsearch 資料庫中暴露了近 750 萬 Adobe Creative Cloud 使用者的基本客戶詳細資訊，該資料庫無需密碼即可線上連線。公開的詳細資訊主要包括有關使用者帳戶的資訊，但不包括密碼或財務資訊。

來源：ZDNet
詳情連結：https://www.dbsec.cn/blog/article/5308.html 

荷蘭史基浦機場投訴網站漏洞致近 60000 投訴者資訊洩露

荷蘭史基浦機場發言人週五在行動小組“史基浦觀察”（Schiphol Watch）先前發出的報告後，向荷蘭網路媒體 NU.nl 確認，透過史基浦當地聯絡點（BAS）進行投訴的近 60000 人的個人資料，可以透過這個投訴網站上的漏洞獲取。

來源：荷蘭網
詳情連結：https://www.dbsec.cn/blog/article/5309.html 

（資訊來源於網路，安華金和蒐集整理）