各位 Buffer 早上好，今天是 2019 年 02 月 14 日星期四，农历正月初十。今天的早餐铺内容有：微软产品七成漏洞是内存安全问题；瑞士电子投票系统邀请黑客来寻找漏洞，总奖金达到15万美元；Facebook被发现可搜索女性朋友的照片却无法搜索男性的；小米电动滑板车有漏洞，可无需身份验证远程访问；利用RunC 漏洞获得 Docker、Kubernetes 主机的 root 权限。

微软产品七成漏洞是内存安全问题

微软工程师 Matt Miller 在以色列举行的安全会议 BlueHat 上透露，软件巨人旗下产品过去 12 年修复的所有漏洞，七成涉及的是内存安全问题。内存安全是软件和安全工程师使用的术语，描述应用程序以不会导致错误的方式访问操作系统内存。当软件无意或有意以超出其分配大小和内存地址的方式访问内存时，就会出现内存安全漏洞。缓冲区溢出、竞争条件、分页错误、空指针，堆栈耗尽，堆耗尽/损坏、释放后使用或双重释放等术语描述的都是内存安全漏洞。[来源：Solidot]

瑞士电子投票系统邀请黑客来寻找漏洞，总奖金达到15万美元

瑞士政府在本月晚些时候将测试基于互联网的电子投票系统。瑞士政府表示，在这次测试当中任何能找到系统Bug的人可以获得高达50000瑞士法郎（约合50000美元）的奖金。瑞士政府这次提供的总奖金达到150000瑞士法郎（约150000美元）。想要参与测试的白帽黑客可以注册“公共入侵测试”（PIT）项目。瑞士邮政系统将在2月24日至3月24日之间进行一次选举测试，这是一次典型的瑞士联邦选举，在此期间，任何注册的白帽黑客都可以自由发现和报告漏洞。[来源：cnBeta]

Facebook被发现可搜索女性朋友的照片却无法搜索男性的

据外媒TheNextWeb报道，一位比利时安全研究人员在Facebook的搜索功能中发现了一个不寻常的怪异现象。Facebook允许用户搜索女性朋友的照片，但却无法查看男性朋友的照片。这个现象被臭名昭著的比利时白帽黑客Inti De Ceukelaire发现。

TNW已经设法复制了几个Facebook帐户的故障。当用户在搜索栏中输入“我的女性朋友的照片”时，Facebook将出现一些看似随意的女性朋友照片。用“男性”换掉“女性”会让人感觉完全不同。而不是社交网络中的朋友的照片，而是显示来自社交网络的精选图片。这些来自用户没有关注的帐户和团体。假设用户错误输入了查询，Facebook也会询问用户是否打算输入“女性”。[来源：cnBeta]

小米电动滑板车有漏洞，可无需身份验证远程访问

据美国科技媒体CNET援引安全研究组织Zimperium周二发布的研究报道称，小米型号为M365的电动滑板车存在漏洞，可能会让黑客远程控制该滑板车，比如导致滑板车突然加速或突然刹车。

Zimperium发现的这个漏洞与2017年Segway悬浮滑板上发现的漏洞类似。IOActive发现，其可以通过向蓝牙更新手动向Segway发送命令远程方位悬浮滑板，完全无需身份验证。[来源：新浪科技]

利用RunC 漏洞获得 Docker、Kubernetes 主机的 root 权限

Runc 容器运行时中存在一个漏洞，可导致恶意容器（仅需最少用户交互）覆写主机 runc 二进制并获得主机监的 root 代码执行权限。该漏洞是由研究员 Adam Iwaniuk 和 Broys Poplawski 发现的，编号是 CVE-2019-5736，在用户名称空间正确使用的系统上遭自动拦截（不以 root 运行的容器不受影响）。然而，它影响的机器“主机 root 被映射到容器的用户名称空间中”，因为默认的 AppArmor 策略和 Fedora 的默认 SELinux 策略并不会拦截 CVE-2019-5736 触发。[来源：CodeSafe]