查看原文
其他

Pandownload 开发者被捕;微软修复 3 个 0day 漏洞;福特、大众被曝网络安全漏洞

LYA 看雪学院 2021-03-07
4 月 14 日,GitHub 的CEO Nat Friedman 在官网上发布声明说,“我们很高兴宣布,我们将为所有 GitHub 用户提供方便无限协作的私有库。且GitHub 全部核心功能对所有人免费。”作为开发者的你,真香了吗?



1
Pandownload 开发者被捕



4月15日,百度网盘“破解版”软件“Pandownload”PC端开发者被捕,警方通报如上图所示(原微博已删除)。

据了解,这款软件能够一键解析百度网盘的下载地址,以非会员权限实现资源的满速下载,并支持百度帐号登录。

有使用过“Pandownload”软件网友表示:不开会员:200KB/s;开会员+官方客户端:5MB/s;开会员+pandownload:30MB/s。

通报显示,刘某举报“Pandownload”软件会在未经授权共享百度网盘的数据,导致隐私照片和文件泄露。

警方经调查发现这款软件突破百度网盘官方设定实现高速下载,属于侵入、非法控制计算机信息系统的程序、工具,并且该软件的使用者达到数万人,导致百度公司损失上千万元。

随后警方在掌握充分证据够抓捕犯罪嫌疑人并查获电脑、手机等作案工具。

警方表示,嫌疑人租用网络服务器进行更新维护并发布接受捐赠的收款码,同时建立QQ群,向进群人员收取1至10元不等的进群费,群内提供更稳定的“Pandownload”内测版本。截至案发,犯罪嫌疑人非法获利30万余元。

对此,百度网盘官方微博发布消息回应称,一直积极配合警方,严厉打击侵犯百度网盘用户数据隐私的犯罪行为,同时将持续通过技术不断提升用户体验。

LYA:就这次事件在网络上的舆论风向就可以看出百度的风评有多差了。



2

微软修复 3 个 0day 漏洞



图片来源:ZDNet

近日,微软发布了本月的安全更新汇总,本月的补丁星期二共提供了针对 11 种产品、113 个漏洞的补丁程序,其中包括 3 个 0day 漏洞,这些漏洞在野外都被积极利用。 


3 个 0day 漏洞分别如下所示:


CVE-2020-1020


该漏洞位于Windows Adobe Type Manager库中的远程代码执行漏洞,对于Windows 10以外的所有系统而言,攻击者利用此漏洞能够远程执行代码,安装恶意程序、查看、更改或删除数据等。对于Windows 10系统影响有限。


CVE-2020-0938

该漏洞同样位于Windows Adobe Type Manager库中,与CVE-2020-1020类似,攻击者利用此漏洞可在AppContainer沙箱上下文中执行代码。

CVE-2020-1027 

该漏洞位于Windows内核中,属于特权提升漏洞,攻击者利用此漏洞可提升权限执行代码,运行经特殊设计的应用程序。

此外,还修复了位于 Internet Explorer 的脚本引擎中的远程代码执行漏洞CVE-2020-0968,若成功利用此漏洞可获得与当前用户相同的权限,控制受影响的系统,以此破坏内存等,不过截至目前仍未在野外被利用。

与往常一样,为了防止攻击者利用并留给用户足够的时间更新,暂时没有发布概念验证代码和漏洞的细节。目前尚不清楚攻击者是否在同一次活动中利用了三个 0day 漏洞,微软表示这三个漏洞均由 Google 的两个安全团队发现并报告的。

LYA:及时更新!



3

福特、大众被曝网络安全漏洞


图片来源:汽车之家


近期,福特和大众最受欢迎的两款具有联网功能的汽车被检测出存在安全漏洞,该漏洞可能会遭到黑客的攻击并泄露个人数据。


一份来自独立消费者组织 Which? 的新报告显示,他们对福特福克斯和大众Polo 的计算机系统进行了检测,发现启动或禁用车辆制动控制系统存在漏洞,该漏洞能够使黑客控制车辆的刹车系统并使之失效,存在较大的安全风险。


报告显示大众 Polo 的信息娱乐系统同样很容易遭到入侵,而该系统中包含丰富的个人数据,例如电话联系人和位置历史记录等。这一发现也引发业界对互联网汽车所收集数据的存储、共享和使用方式的关注。

此外,研究人员还发现只要抬起汽车前部的大众徽章就能进入前雷达模块,黑客可通过这一动作进一步篡改车辆碰撞预警系统。


至于福特福克斯,专家发现利用最常规的工具即可拦截其胎压监测系统发送的信息,以此欺骗系统。例如当车胎没气时攻击者可让系统显示胎压正常状态,从而产生风险。


此外,在检测福特代码时还发现会泄露 WiFi 的详细信息以及福特生产线上计算机系统的密码。


调查结果公布后,大众与该组织进行了联系,福特则拒绝接受该报告。


Which? 表示由于汽车行业对车载技术缺乏监管,会导致部分制造商偷工减料,而危及车主的安全和个人隐私,类似的问题可能会在整个行业普遍存在。

LYA:万物互联时代,究竟该怎么保护我们的隐私和安全?还是需要统一强制性的行业标准,这样才能让消费者放心,让这些智能产品不仅仅是流行,而是在品质上更有保障。


推荐文章++++

Linux补丁提升7倍性能;苹果和谷歌联合推出“健康码”;20余款App违规

iOS14代码曝光新特性;谷歌推出虚拟盲文键盘;WannaRen作者主动提供解密密钥

* WannaRen溯源分析;Switch全系告破;谷歌要求Android11强制采用A/B更新

* 60万电子邮件泄露;Chrome81初步支持WebNFC;百度App部分频道停更整改

* WannaRen勒索病毒来袭;Safari漏洞可开启摄像;英国5G基站遭人为纵火





公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com


“阅读原文”一起来充电吧!

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存