本周BUF大事件还是为大家带来了新鲜有趣的安全新闻，fastjson被曝存“高危”远程代码执行漏洞；Apple ID登录漏洞，无需密码登录用户账号；全球最大黑客组织匿名者发布视频：揭露大量美国警局罪行；你的微信被监听？腾讯回应：不会监测用户聊天记录。想要了解详情，来看本周的BUF大事件吧！

观看视频

内容梗概

fastjson被曝存“高危”远程代码执行漏洞

近日，fastjson <= 1.2.68 版本被发现存在远程代码执行漏洞，漏洞被利用可直接获取服务器权限，威胁等级：高危。该漏洞原理是，autotype 开关的限制可以被绕过，攻击者可以通过精心构造反序列化利用链，最终达成远程命令执行。漏洞本身无法绕过Fastjson的黑名单限制，需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。目前 fastjson 官方还未发布修复版本，使用者可以升级到最新版本1.2.69或者更新的1.2.70版本。

Apple ID登录漏洞，无需密码登录用户账号

最近苹果公司向印度漏洞研究人员Bhavuk Jain支付了10万美元的巨额赏金，以奖励他发现的iOS系统中“使用Apple登录”（ Sign in with Apple）的高危漏洞。黑客可以利用该漏洞使用任何Apple ID登录进行账号劫持，攻击用户设备。去年，苹果宣布引入“使用Apple ID登录”功能，让用户自行选择是否与第三方应用程序共享Apple电子邮件 ID，攻击者可以伪造身份验证令牌来获取用户的访问权限。目前苹果已经修复了该漏洞，且尚未发现由此引发的用户数据泄露。

全球最大黑客组织匿名者发布视频：揭露大量美国警局罪行！

近日，美国警察暴力执法致黑人男子死亡事件不断升级，全球最大黑客组织匿名者（Anonymous）发布视频，公开指责美国警方有“可怕的暴力和腐败记录”。视频里说到：“乔治·弗洛伊德因暴力执法丧命，引发了全美的抗议游行活动。但是他的死亡只是冰山一角，将把其更多罪行揭露于世。视频在Facebook上被浏览了数百万次，“匿名者”话题登上推特热搜榜第二位。 

你的微信被监听？腾讯回应：不会监测用户聊天记录

6 月 1 日，微信官方辟谣平台发文称，近日有短视频声称 “微信正在监听你的聊天记录”，并在视频中传授关闭诀窍。腾讯微信团队表示，聊天内容属于用户的通信秘密和个人隐私，微信不会监测用户的聊天记录，更不会通过监测用户聊天记录来推送广告。在这里给大家分享中国电信防止恶意软件监听技巧：1、查看后台隐藏应用；2、关注流量和电量使用情况；3、选择正规渠道下载应用；4、谨慎Root。 

* 本文作者：willhuang，FreeBuf视频组荣誉出品，转载须注明来自FreeBuf.COM