四月樱桃红满市，雪片鲥鱼刀。

各位 Buffer 早上好，今天是 2018 年 5 月 16 日星期三，农历四月初二。今天的 BUF 早餐内容主要有：两大加密协议 PGP 与 S/MIME 被曝明文漏洞； Adobe 修复 Acrobat、Reader 和 Photoshop 中将近 50 个漏洞；PANDA Banker 恶意软件攻击银行机构、加密货币交易平台以及社交媒体；黑客演示 Signal 中的代码注入攻击；Nigelthorn 恶意软件滥用 Chrome 扩展，感染超过 10 万个系统；国民老公王某车辆违章罚单外泄，身份证号、地址等隐私信息泄露。

安全资讯早知道，两分钟听完最新安全快讯~

以下请看详细内容：

【国际时事】

两大加密协议 PGP 与 S/MIME 被曝明文漏洞

近日，几名欧洲安全研究人员发现常用的 PGP 和 S/Mime 电子邮件加密协议存在两个严重漏洞，会以明文形式泄露用户加密邮件内容，以前发送过的邮件内容也可能被泄露。研究人员将相关漏洞命名为 EFAIL，并在周二早上发布了两个漏洞的详细研究报告。

目前暂时没有针对这个漏洞的可靠修复方案，研究人员提示，如果用户使用 PGP/GPG 或 S/MIME 加密敏感通讯，那么应当立刻在电邮客户端中禁用。此外，最好也禁用 Thunderbird、macOS Mail、Outlook 等邮件客户端中的相关加密插件。将加密插件从上述邮件客户端移除后，邮件就不会被自动加密。如果用户接收到了 GPG 加密的消息，也不要解密。[来源：Securityaffairs]

Adobe 修复 Acrobat、Reader 和 Photoshop 中将近 50 个漏洞

本周一，Adobe 修复了 Acrobat、Reader 和 Photoshop 中将近 50 个漏洞，包括 24 个严重的内存损坏漏洞，可被攻击者利用，在目标用户的上下文中执行任意代码，还会导致信息泄露或安全绕过等问题。

Adobe 通知用户，已经在 2017 年 10 月 15 日停止了对 Acrobat 和 Reader 11.x 的支持，11.0.23 版本是最终版本。建议用户更新到最新版本的 Acrobat DC 和 Acrobat Reader DC。此外，Adobe 还发布了针对 Windows 和 macOS 版本 Photoshop CC 的安全更新。Photoshop CC 2018 的 19.1.4 版本和 Photoshop CC 2017 版本 18.1.4 修复了在目标用户上下文中用于任意代码执行的临界越界写入问题。

本月早些时候，Adobe 还更新修复了 Flash Player、Creative Cloud 和 Connect 产品中的多个漏洞。提醒用户关注相关安全更新，尽早修复漏洞。[来源：Securityweek] 

【漏洞攻击】

PANDA Banker 恶意软件攻击银行机构、加密货币交易平台以及社交媒体

安全公司 F5 近日发布报告，称黑客利用 PANDA Banker 恶意软件频繁攻击银行机构、加密货币交易平台以及社交媒体。PANDA Banker 的主要特征是窃取账号和凭证，进而利用“man in the browser”攻击窃取受害者财物。

F5 表示，PANDA Banker 持续针对日本公司发起攻击，同时，美国、加拿大以及拉丁美洲的金融机构也没能幸免。报告表明，PANDA Banker 最初只攻击全球的金融服务，但随着全球掀起加密货币热潮，在线加密货币交易服务也成了 PANDA Banker 的目标。社交媒体、搜索网站、电子邮件甚至成人网站等可能被用于挖矿的途径也都纷纷沦陷。[来源：Securityaffairs]

黑客演示 Signal 中的代码注入攻击

在 eFail 攻击细节泄露之后，加密通讯软件Signal的代码注入漏洞也被公开。远程攻击者可能利用此漏洞，对收件人运行的Signal桌面应用程序注入恶意payload。攻击者只向需要它们发送特制链接，不需要任何用户交互。

研究人员表示，这个漏洞是在 Signal 聊天过程中偶然发现的，其中一人在URL中分享了一个XSS payload链接，随后发现了这个漏洞。目前，Signal已经修补了Windows和Linux程序。[来源：The HackerNews]

【系统安全】

Nigelthorn 恶意软件滥用 Chrome 扩展，感染超过 10 万个系统

近日，研究人员发现名为 Nigelthorn 的恶意软件异常活跃，利用 Google Chrome 扩展程序 Nigelify 发起攻击，已经感染了 100 多个国家超过 10 万个计算机系统。被感染的计算机大多位于菲律宾、委内瑞拉以及厄瓜多尔。这个恶意软件可以窃取凭证、挖矿，还能实行点击劫持以及其他恶意活动。

研究人员表示，该恶意软件主要利用 Facebook中的链接传播，受害者点击链接之后，会被重定向到虚假的 YouTube 页面，并被诱导下载并安装有助于播放视频的 Chrome 扩展程序。一旦受害者点击安装，恶意软件就会以扩展程序的方式添加到浏览器中。不管是 Windows 系统还是 Linux 系统，只要运行 Chrome 浏览器，就有可能遭到相关攻击。[来源：Securityaffairs]

【国内新闻】

国民老公王某车辆违章罚单外泄，身份证号、地址等隐私信息泄露

5月14日晚间，微博上开始流传一张有关国民老公王某(大家都懂的）的罚单照片。照片显示，在5月14日下午16时，王某所开的车因在上海市延安西路进虹许路时，变更车道影响正常行驶的机动车被罚，罚款200块。

细心的网友发现，这上面的隐私信息简直一览无遗！不仅有他的驾驶证编号，而且还有身份证号码和详细的地址等隐私信息。此前，由于在“滴滴打车空姐遇害”的调查过程中，有警务辅助人员擅自传播了有受害人信息的现场照片，已经被刑拘。因此，有网友认为，拍照的执法交警把这样的个人隐私发到上网，也可能会挨处分。 [来源： cnBeta]

*AngelaY 编译整理，转载请注明来自 FreeBuf.COM