各位 Buffer 早上好，今天是 2018 年 7 月 27日星期五，农历六月十五。今天份的 BUF早餐内容有：成功黑掉Bitfi数字钱包的人迈克菲将奖励10万美元；因频繁杀后台VLC播放器将华为机型列入黑名单；提前发现高危漏洞，微软、苹果致谢支付宝安全实验室；卡巴斯基实验室：汽车共享APP出现漏洞易被黑客攻击；新型Kronos银行木马被发现。

安全资讯早知道，两分钟听完最新安全快讯~

迈克菲：成功黑掉Bitfi数字钱包的人奖励10万美元

据Cryptovest消息，迈克菲（McAfee）创始人约翰·迈克菲近期加入数字货币钱包Bitfi的团队，称该钱包是世界上第一个不会被黑的钱包，为了证明这一点，他称如果谁成功黑掉Bitfi钱包，将获得10万美元的奖励。对此，Bitfi钱包官方也表示对此进行支持，并对该赏金制定了详细规则。[bianews]

因频繁杀后台VLC播放器将华为机型列入黑名单

近日，VideoLAN公司（VLC母公司）宣布VLC已经将华为设备列入黑名单，禁止华为手机下载VLC应用。VLC是一款Android平台广受欢迎的开源播放器应用，可播放大多数多媒体文件，以及 DVD、音频 CD、VCD 及各类流媒体协议，但是华为手机用户下载VLC可能将遇到一些问题。

原因是因为华为严格的后台机制，系统几乎扼杀了所有的后台程序，导致VLC无法后台播放音乐，遭到许多用户投诉。VideoLAN解释，并非所有华为手机都被列入了黑名单，该决定只会影响最近的华为手机。[cnbeta]

提前发现高危漏洞，微软、苹果致谢支付宝安全实验室

微软和苹果分别在官网发布安全公告，致谢蚂蚁金服光年安全实验室及时发现其平台上的高危漏洞，避免更多用户中招。这2个漏洞会导致用户的主机被远程控制。

编号为CVE-2018-4264的漏洞存在Safari浏览器的JSC引擎中，CVE-2018-8283漏洞存在于Edge浏览器的ChakraCore引擎中。在访问网站时，攻击者可以通过这些漏洞在网页中执行特殊构造的脚本代码，造成浏览器崩溃，甚至可能存在可以远程执行代码的风险，从而控制用户的主机。目前，微软和苹果已将漏洞修复。[ithome]

卡巴斯基实验室：汽车共享APP出现漏洞易被黑客攻击

近日，卡巴斯基实验室研究人员分析了十几个提供汽车共享服务的公司app，发现存在可被黑客利用的严重安全漏洞。攻击者可通过逆向工程获取root权限，达到劫持用户账户、追踪用户位置的目的。并且可利用漏洞在未付费状况下使用汽车，有窃取零件或利用车辆犯罪的隐患。当前存在漏洞的13款app下载量已超百万。[securityweek]

新型Kronos银行木马被发现

Proofpoint安全研究员表示，近期确认了当年名噪一时的Kronos银行木马出现新变种。最早在今年4月发现了新型木马的第一批样本，随后6月开始大规模出现。新版本与2014年发现的木马使用几近相同的代码字段及加密技术。

该银行木马目前广泛活跃于针对德国、日本和波兰的银行用户，近一月已出现4起事件。[bleepingcomputer]