Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735,Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影响。
漏洞位于编辑器的 modelines 功能中,该功能允许用户指定窗口大小和其它定制选项,modelines 限制了沙盒内可用的指令,但安全研究员 Armin Razmjou 发现 source!
指令会绕过这一保护。因此如果用户打开一个恶意文本文件,攻击者可以控制计算机。漏洞利用需要编辑器启用 modelines,部分 Linux 发行版默认启用了该功能,而苹果的 macOS 没有默认启用。
来源:solidot.org
(题图:pinimg)
更多资讯
谷歌新功能上线:Android 手机可作为 iOS 应用的安全密钥
几个月前,谷歌正式推出了使用 Android 智能机作为物理安全密钥的特性,以便用户在 Chrome 浏览器上登录桌面网站和服务。该功能通过蓝牙连接工作,因此只能在两款设备相邻时才能起效。不过现在,谷歌上线了新的功能,允许借助 Android 智能机来登陆 iPhone 和 iPad 上的应用与服务,为 iOS 平台带来额外的安全保障。
来源:cnBeta.COM
详情: http://www.dbsec.cn/zx/20190614-2.html
Google 研究员披露 Windows 10 0day 漏洞
安全研究员 Tavis Ormandy 是谷歌 “Project Zero” 团队的一员,负责寻找 0day 漏洞。他公开了一个可利用的 Windows 漏洞,目前,微软仍处于修复过程中。Tavis Ormandy 发推文说他已经发现了 Windows 核心加密库的安全问题,“微软承诺在 90 天内修复它,结果没有”。于是在第 91 天,Ormandy 选择了公开这个漏洞。
来源:solidot.org
详情: http://www.dbsec.cn/zx/20190614-3.html
梅德韦杰夫推特又遭黑客攻击 祝贺留言变神秘文字
6月13日电 被誉为“科技发烧友”的俄罗斯总理梅德韦杰夫,6 月 12 日用其推特账号给伊拉克驻俄大使“留言”一组神秘文字:very very hubby cheers。后被证实俄总理账号遭到黑客攻击,两条贴文也被迅速删除。
来源:海外网
详情: http://www.dbsec.cn/zx/20190614-4.html
西甲官方应用因非法监听用户被罚 25 万欧元
西班牙足球甲级联赛官方 Android 应用因非法监听用户被罚 25 万欧元。去年西甲承认它的 Android 应用访问手机的麦克风和 GPS,但它辩护称此举旨在通过匹配音频数据和手机位置,跟踪播放比赛的非法场所。
来源:solidot.org
详情: http://www.dbsec.cn/zx/20190614-5.html
(信息来源于网络,安华金和搜集整理)