*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

高温来袭，注意防暑降温，不要着凉哦~

各位  Buffer 早上好，今天是 2018 年 6 月 28 日星期四，农历五月十五。今天份的 BUF 早餐内容主要有：中小企业将钓鱼列为首要攻击威胁；Wi-Fi 联盟宣布新的 WPA3 安全标准；WordPress 被曝未修复的漏洞；Windows 10 的快捷方式功能可被利用执行恶意代码；特制汽车可以在 500 米外入侵你的手机。

安全资讯早知道，两分钟听完最新安全快讯~

以下请看详细内容：

中小企业将钓鱼列为首要攻击威胁

近日，一份针对 600 名中小企业管理者的调查显示，几乎所有中小企业都对员工展开了安全意识培训，因为他们担心针对员工的钓鱼攻击会给企业带来严重威胁。其中，美国、英国和澳大利亚最为重视企业网络安全，相应地，他们的预估违规成本也在下降。

调查显示，48% 的受访者认为网络钓鱼攻击是最重要的威胁，45％的受访者表示他们的业务易受 DNS 攻击。总体来说，原本占据第一的新型恶意软件跌至第六位，落后于分布式拒绝服务（DDoS）和移动攻击。勒索软件从2017年的第五位上升到2018年的第三位，不过这也因地理位置而异。[ 来源：infosecurity]

Wi-Fi 联盟宣布新的 WPA3 安全标准

周一晚些时候，包括苹果、思科、英特尔、高通和微软等科技巨头在内的 Wi-Fi 联盟正式推出了新的 Wi-Fi 安全标准 WPA3。这个标准将解决所有已知的、会影响重要标准的安全问题，同时还针对 KRACK 和 DEAUTH 等无线攻击给出缓解措施。

WPA3 为支持 Wi-Fi 的设备带来重要改进，旨在增强配置、加强身份验证和加密等问题。重要改进主要包括：防范暴力攻击、WAP3 正向保密、加强公共和开放 Wi-Fi 网络中的用户隐私、增强对关键网络的保护。据了解，这项新协议可以在个人，企业和物联网无线网络的个人和企业模式下运行。[来源：Securityaffairs ]

WordPress 被曝未修复的漏洞

RIPS 的安全研究人员曝光了 WordPress 中一个没有修复的漏洞，对所有版本的 WordPress 都有影响。该研究人员表示，去年 11 月份他们已经向 WordPress 告知了这个漏洞，但 WordPress 开发者一直没有发布补丁。

这个漏洞主要影响 WordPress CMS 的内核。有权访问编辑器的用户可以利用这个漏洞上传或删除图片，进而在网站中插入恶意代码。不过只有特定级别（如作者或更高级别）的用户才能利用此漏洞，因此降低了漏洞严重程度。目前，用户可以通过热更新来修复这个漏洞。[来源：bleepingcomputer ]

Windows 10 的快捷方式功能可被利用执行恶意代码

SpecterOps 的安全研究员表示，Windows 10 中用于添加快捷方式的文件格式“SettingContent-ms”存在安全问题，可能会被用户滥用，执行恶意代码。

SettingContent-ms 文件都是 XML 文档，包含一个 标签，用于指定用户双击快捷方式时打开的 Windows 10 设置页的磁盘位置。但研究人员发现，可以用本地系统中的任何其他可执行文件替换这个 DeepLink 标记。因此，攻击者可以利用恶意可执行文件，嵌入到 Office 文档中并绕过 ASR 安全功能，在系统上实现恶意代码执行。[来源：bleepingcomputer]

特制汽车可以在 500 米外入侵你的手机

近日，一家以色列初创公司WiSpear声称已经建造了一辆满载下一代监听设备的汽车SpearHead 360，它可以在距离500米远的地方感染苹果和安卓手机。目前这辆满载监听设备的汽车售价在350万美元至500万美元之间，Tal Dilian声称已经有很多买家表示很感兴趣。

SpearHead 360使用24根天线与目标设备建立连接，汽车有四种不同的方式来强制手机连接到基于WiFi的拦截器，从而可以在汽车上进行监听。谈到距离时，Dilian说，虽然他的队伍已经成功地进行了1000米的攻击，但他告诉客户在真实世界中最好不要超过500米。[来源：ithome]

*AngelaY 编译整理，转载请注明来自 FreeBuf.COM。