freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

BUF大事件丨fastjson被曝“高危”远程代码执行漏洞;价值10万美金的Apple ID登录漏洞
2020-06-07 12:35:15

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,fastjson被曝存“高危”远程代码执行漏洞;Apple ID登录漏洞,无需密码登录用户账号;全球最大黑客组织匿名者发布视频:揭露大量美国警局罪行;你的微信被监听?腾讯回应:不会监测用户聊天记录。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

fastjson被曝存“高危”远程代码执行漏洞

近日,fastjson <= 1.2.68 版本被发现存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限,威胁等级:高危。该漏洞原理是,autotype 开关的限制可以被绕过,攻击者可以通过精心构造反序列化利用链,最终达成远程命令执行。漏洞本身无法绕过Fastjson的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。目前 fastjson 官方还未发布修复版本,使用者可以升级到最新版本1.2.69或者更新的1.2.70版本。

捕获3213.PNG

Apple ID登录漏洞,无需密码登录用户账号

最近苹果公司向印度漏洞研究人员Bhavuk Jain支付了10万美元的巨额赏金,以奖励他发现的iOS系统中“使用Apple登录”( Sign in with Apple)的高危漏洞。黑客可以利用该漏洞使用任何Apple ID登录进行账号劫持,攻击用户设备。去年,苹果宣布引入“使用Apple ID登录”功能,让用户自行选择是否与第三方应用程序共享Apple电子邮件 ID,攻击者可以伪造身份验证令牌来获取用户的访问权限。目前苹果已经修复了该漏洞,且尚未发现由此引发的用户数据泄露。

15910775459116.png

全球最大黑客组织匿名者发布视频:揭露大量美国警局罪行!

近日,美国警察暴力执法致黑人男子死亡事件不断升级,全球最大黑客组织匿名者(Anonymous)发布视频,公开指责美国警方有“可怕的暴力和腐败记录”。视频里说到:“乔治·弗洛伊德因暴力执法丧命,引发了全美的抗议游行活动。但是他的死亡只是冰山一角,将把其更多罪行揭露于世。视频在Facebook上被浏览了数百万次,“匿名者”话题登上推特热搜榜第二位。 

捕获1321.PNG

你的微信被监听?腾讯回应:不会监测用户聊天记录

6 月 1 日,微信官方辟谣平台发文称,近日有短视频声称 “微信正在监听你的聊天记录”,并在视频中传授关闭诀窍。腾讯微信团队表示,聊天内容属于用户的通信秘密和个人隐私,微信不会监测用户的聊天记录,更不会通过监测用户聊天记录来推送广告。在这里给大家分享中国电信防止恶意软件监听技巧:1、查看后台隐藏应用;2、关注流量和电量使用情况;3、选择正规渠道下载应用;4、谨慎Root。 

捕获21321.PNG

* 本文作者:willhuang,FreeBuf视频组荣誉出品,转载须注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 安全资讯 # Buf大事件 # Fastjson # Apple ID登录漏洞
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦