BUF早餐鋪 ｜ 銀聯雲閃付APP邀請連結被曝洩漏手機號；Adobe推出……

2018年2月9日，想必很多小夥伴已經踏上回家過年的路，還在公司上班的童鞋別灰心，還有小編的早餐鋪陪你耍。今天的早餐鋪內容有：銀聯雲閃付APP邀請連結被曝洩漏手機號；Adobe推出緊急補丁修復朝鮮駭客利用的漏洞；思科再次釋出補丁修復 CISCO ASA 中的嚴重漏洞；研究員發現繞過windows資料夾控制權限方法；偽裝名人騙取以太幣，駭客一晚賺5000美元。

【國內新聞】

銀聯雲閃付APP邀請連結被曝洩漏手機號

近期很多小夥伴都在參與銀聯雲閃付的紅包活動，透過連結邀請好友參與活動能夠獲得更多的紅包。而邀請連結卻被曝出會洩露手機號，銀聯雲閃付官方在微博上很快進行了回覆，並表示已經在緊急修復。

而邀請連結卻被曝出會洩露手機號，銀聯雲閃付官方在微博上很快進行了回覆，並表示已經在緊急修復。而對於邀請連結問題，銀聯表示連結本身不經過技術處理是無法直接還原手機號的。被解密的內容僅限邀請人的手機號，無法與其他要素匹配，其他資訊及被邀請人資訊都是安全的。

不過奇怪的是，筆者截稿之時，嘗試訪問雲閃付官方微博，卻所有的微博都已經被刪除，不只是自己手動清空還是被微博官方處理過。

【漏洞相關】

Adobe推出緊急補丁修復朝鮮駭客利用的漏洞

Adobe推出了一個緊急修補程式，修復了兩個嚴重的遠端執行漏洞，包括朝鮮利用的CVE-2018-4878漏洞。上週，韓國網際網路與安全域性（KISA）警告說，北韓的駭客使用了Flash 0day漏洞（CVE-2018-4878）。根據KISA釋出的警告，該漏洞影響最新的Flash Player 28。0。0。137及更早版本。

透過欺騙受害者開啟包含特製Flash檔案的文件，網頁或電子郵件進行攻擊。“在Adobe Flash Player中發現了一個0day漏洞。攻擊者可能能夠說服使用者開啟包含Flash檔案的Microsoft Office文件，網頁或垃圾郵件，“韓國CERT釋出的諮詢報告中寫道。

研究人員Simon Choi介紹，自2017年11月中旬以來，朝鮮一直在利用Flash Player 0-day漏洞。攻擊者利用0day漏洞攻擊參與朝鮮研究活動的韓國人。在Twitter上Choi共享的圖片中，駭客利用這個漏洞傳播惡意軟體，顯示這個漏洞已經透過惡意的Microsoft Excel檔案傳播。

Adobe用一個緊急補丁解決了這個漏洞，該漏洞還修復了奇虎360 Vulcan團隊的研究人員發現的另一個遠端程式碼執行漏洞CVE-2018-4877。

［來源：SecurityAffairs］

思科再次釋出補丁修復 CISCO ASA 中的嚴重漏洞

思科目前已經推出了新的安全補丁，來修復CISCO ASA 中的 CVE-2018-0101漏洞。一月底該公司釋出了安全補丁也是針對這個漏洞，遠端未經身份驗證的攻擊者可利用此漏洞執行任意程式碼或觸發導致系統重新載入的拒絕服務（DoS）情況。

該漏洞位於由CISCO ASA軟體實施的安全套接字層（SSL）VPN功能中， 由NCC集團的研究人員Cedric Halbronn發現，並且在漏洞評分系統中得分高達10分。專家們注意到，這個漏洞與CISCO ASA軟體中的XML解析器有關，攻擊者可以透過將特製的XML檔案傳送到易受攻擊的介面來觸發該漏洞。

對這個漏洞的進一步調查揭示了更多的攻擊媒介，為此，該公司釋出了一個新的更新。研究人員還發現影響思科ASA平臺的拒絕服務問題。思科表示，目前還沒利用該漏洞的事故發生，但不論如何第一時間修復漏洞是最重要的。

［來源：SecurityAffairs］

【網路安全】

偽裝名人騙取以太幣，駭客一晚賺5000美元

網路騙子一晚上已經騙取了價值超過5000美元的以太幣，可以看出一些持有加密貨幣的使用者是多麼容易被騙。不法分子透過偽造名人虛假的twitter個人賬戶以及欺騙使用者參與“贈品”的資訊，在社交網路上發垃圾郵件，達到了這個目的。

騙子欺騙使用者傳送少量的以太坊，承諾他們會收到十倍的數量作為贈品的一部分。幾乎所有的訊息都按照下面這個模版，只是假賬戶和以太幣錢包地址不一樣：

我們將捐贈200以太幣給ETH社群！前50個傳送0。2個以太幣到以下地址的賬戶將收到2個以太幣。

Bleeping Computer已經調查了這次發生的大規模騙局行為，並發現了以下虛假名人賬戶：

Elon Musk： @eonmusk，@elonnmuusk，@eonmsuk

John McAfee： @officialnmcafee，@officialnmcafee

Vitalik Buterin： @VitallikButern，@VitallikButern

Warren Buffet： @WarrenBuffert

Coinbase： @coindase

CoinMarketCap： @coinmarketcap3

OmiseGo： @Omiise_Go

Nano Cryptocurrency： @nanocurrency

Eric Choe： @CryptoChoe_

由於SpaceX “重型獵鷹”首飛成功，引發了全世界很多人的關注，可以推測這個時候透過偽造Elon Musk的賬戶來進行詐騙，確實是個不錯的選擇，事實證明Elon Musk的賬戶也是被偽造最多的。

［來源：bleepingcomputer］

【系統安全】

研究員發現繞過windows資料夾控制權限方法

一位安全研究人員發現了一種方法，可以繞過2017年10月在Windows 10中新增的“受控資料夾訪問”功能，微軟稱這是一個可靠的反勒索軟體防禦措施。更新到Windows 10 秋季創意者版本的使用者收到了名為受控資料夾訪問（CFA）的Windows Defender更新，允許他們阻止對使用者指定目錄中找到的檔案進行任何修改。

使用者必須手動批准允許編輯位於CFA資料夾中的檔案的任何應用程式，方法是將每個應用程式的可執行檔案新增到透過“允許透過受控資料夾訪問應用程式”選項管理的白名單中。但是，SecurityByDefault的西班牙安全研究員Yago Jesus發現，微軟已經將列表中的所有Office應用自動列入白名單。這意味著Office應用程式可以修改位於CFA資料夾中的檔案，無論使用者是否喜歡。

勒索軟體可以使用Office OLE物件繞過CFA

Jesus說，勒索軟體開發人員可以透過新增簡單的指令碼繞過CFA透過Office檔案中的OLE物件輕鬆繞過微軟CFA反勒索軟體功能。在週末發表的研究報告中，Jesus列舉了三個利用欺詐辦公室檔案（透過垃圾郵件接收）覆蓋儲存在CFA資料夾內的其他Office檔案內容的例子； 密碼保護相同的檔案； 或將其內容複製貼上到位於CFA資料夾之外的檔案中，對其進行加密，然後刪除原件。