BUF早餐铺 |Linux内核漏洞可为攻击者提供Root访问权限；非官方渠道下载的软件潜藏恶意挖矿代码；G...

各位 Buffer 早上好，今天是 2018 年 9 月 27 日星期四，农历八月十八。今天的早餐铺内容有：Linux爆出严重内核漏洞，可为攻击者提供Root访问权限；警惕非官方渠道下载的软件潜藏恶意挖矿代码；Google Play商店发现木马应用，窃取客户欧元；WhatsApp联合创始人：“我在与Facebook的收购交易中卖掉了我用户的隐私”；优步将为2016年的数据泄露事件支付1.48亿美元赔偿金；美科技巨头警告隐私问题过度监管将导致用户服务受限。

以下请看详细内容：

Linux爆出严重内核漏洞，可为攻击者提供Root访问权限

所有版本的Red Hat Enterprise Linux和CentOS都容易受到该整数溢出漏洞（ CVE-2018-14634 ）的影响。它为攻击者提供了一种获取系统完整root访问权限的方法。

整数溢出漏洞（ CVE-2018-14634 ）存在于用于内存管理的关键 Linux 内核函数create_elf_tables（）中。在64位系统上，本地攻击者可以 通过SUID root二进制文件利用此漏洞并获取完整的root特权。[来源： Darkreading ]

警惕非官方渠道下载的软件潜藏恶意挖矿代码

降维安全实验室(johnwick.io)最近关注到一起感染用户进行加密货币挖矿的恶意活动。为了感染全球范围内的用户，黑客创建了一个恶意克隆版的PDFescape并做了一个细节修改：攻击者反编译并修改了一个MSI文件（一个亚洲的字体包）然后加入了含有加密挖矿代码的恶意payload。据数据统计，共有100个国家的12810位用户受到此恶意软件的感染。[来源： bianews ]

Google Play商店发现木马应用，窃取客户欧元

研究人员发现Google Play商店存在伪装成电话和录音 工具 的木马应用，该恶意软件名为QRecorder，披着自动呼叫和录音工具的外壳，实则能够捕获用户通过SMS接收的双因素身份验证码，并控制用户在屏幕上看到的内容。在安全厂商发现时，该恶意软件的下载量已超过10000次。数千名欧洲地区的用户的银行账户被盗。[来源： bleepingcomputer ]

WhatsApp联合创始人：“我在与Facebook的收购交易中卖掉了我用户的隐私”

据外媒报道，WhatsApp联合创始人Brian Acton在2014年以220亿美元的价格将公司卖给Facebook后成为了亿万富翁。然而近日，似乎有迹象显示当初的这一决定让Acton感到不安。据悉，Acton于2017年离开了WhatsApp，CEO Jan Koum也在8月离开。据称，Acton的离开导致他损失了8.5亿美元。

Acton告诉媒体：“我把我用户的隐私卖给了一个更大大利益体。我作出了选择并为此妥协。我每天都这样生活。”艾克顿指责扎克伯格急于通过WhatsApp盈利，并且破坏了其加密技术的一些元素。[来源： cnbeta ]

优步将为2016年的数据泄露事件支付1.48亿美元赔偿金

美国当地时间周三，优步同意为2016年的数据泄露和之后的掩盖行为支付1.48亿美元赔偿金。这笔资金将用于赔偿50个州和哥伦比亚特区的员工和乘客。

优步还同意采取额外措施改变其公司政策，包括保护存储在第三方平台上的用户数据，为员工实施部署的密码解决方案，为收集的数据制定强有力的整体安全政策，实施企业诚信计划，以及聘请外部人员定期评估优步的数据安全工作。[来源： zdnet ]

美科技巨头警告隐私问题过度监管将导致用户服务受限

美国国会议员表示，越来越多人都认为，有必要立法加强用户的在线隐私保护。然而美国当地时间周三的听证会表明，关于这样的法案应当以什么为目标，仍可能存在分歧。 新出现的争议凸显了立法工作的难度，以及立法可能带来的巨大风险，尤其是对那些需要收集大量数据来开展业务的互联网公司而言。来自亚马逊和谷歌等科技巨头的高管在听证会上警告称，某些类型的监管可能会限制他们向用户提供的服务。

谷歌首席隐私官基思·恩赖特（Keith Enright）敦促立法者考虑对服务功能，免费或低成本产品给用户带来的利益，开放网络和应用生态未来的影响，以及对市场的其他潜在影响。[来源： cnbeta ]

*Freddy 编译整理，转载请注明来自 FreeBuf.COM