据外媒 Softpedia 报道,微软 Windows 10 更新助手中的一个安全漏洞使攻击者可以执行具有 SYSTEM 权限的代码。CVE-2019-1378 中记录了这个权限提升漏洞。微软解释说,攻击者最终可以创建具有完全用户权限的帐户,最终获得访问权限以丢弃其他有效负载并控制设备。
微软表示:“Windows 10 更新助手以处理权限的方式存在一个权限提升漏洞。经过本地身份验证的攻击者可以以更高的系统权限运行任意代码。成功利用此漏洞后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。”
该漏洞由 Jimmy Bayne 发现并报告给微软,无论安装了哪个版本的 Windows 10,该漏洞都存在于 Windows 10 更新助手中。
外媒指出,某些计算机在安装 KB4023814 更新之后最终会运行 Windows 10 更新助手。但是,此更新仅适用于运行 Windows 10 版本 1803(2018 年 4 月更新)及更高版本的设备,并且专门用于准备升级到 Windows 10 版本 1903(2019 年 5 月更新)。
另一方面,如果手动安装了更新工具,则在 Windows 10 版本 1903 上运行 Windows 10 更新助手的设备也容易受到攻击。
微软已经发布了新版本的更新助手来解决此漏洞,建议用户尽快安装它。修复此漏洞的唯一方法是手动安装此新版本,至少要将此安装到通过 Windows Update 自动发送到设备的新更新中。完全删除 Windows 10 更新助手显然也可以阻止攻击。
微软表示,该漏洞是秘密披露的,被利用的可能性较小,目前还没有关于该漏洞被攻击者利用的报道。
来源:cnBeta.COM
更多资讯
苹果更新 Windows 版 iTunes 修补了勒索软件攻击漏洞
苹果已经修补了之前在 iTunes 和 Windows 版 iCloud 中被发现的 Bonjour 漏洞,以避免勒索软件继续发动攻击。该漏洞实际上允许恶意软件在 Windows 中执行,看起来它是一个受信任的应用程序。精心设计的攻击者可以利用 iTunes 和 Bonjour 数字签名,绕过系统针对恶意软件的防护。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5226.html
注册 20 万个假账号薅走奶粉两万多桶 90 后男子获刑
一名 90 后男子针对某一 App 购买奶粉买一送一的优惠活动,竟注册了 20 万个账号,利用技术漏洞“薅”走两万多桶奶粉,非法获利六万余元。
来源:央视新闻
详情链接:https://www.dbsec.cn/blog/article/5227.html
Google Play 商店发现能够自行隐藏图标的恶意广告应用
总部位于澳大利亚的 SophosLabs 研究人员最近发现了 15 个应用程序,这些应用程序除了在 Android 设备上积极展示广告外似乎没有其他作用。这些程序的名称和产品描述,从 QR 阅读器到图像编辑应用程序不等。使这些应用程序更加隐蔽的是,它们隐藏了自己的应用图标,使它们更难从手机中删除。其中一些程序甚至在设置中使用不同的名称和图标来伪装自己。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5228.html
3 毛一份账单 2 元一份明细 你的隐私值多少钱?
你的隐私值多少钱?据网络流传的一份数据公司个人信息报价表,3 毛能买到你在外卖平台的基本信息和账单详细信息,2 元就能买到你在某主流购物平台的交易明细及关联账号的借贷信息……在几乎人手一部智能手机的时代,各种 APP 丰富了大众的生活。一般下载完 APP 后,都会要求用户授权读取摄像头、麦克风、地理位置等。
来源:中国新闻周刊
详情链接:https://www.dbsec.cn/blog/article/5229.html
(信息来源于网络,安华金和搜集整理)