BUF早餐铺 | Pwn2Own：Galaxy S9、iPhone X和小米Mi6成为赚取奖金的对象；Facebook再曝漏洞，可使私...

各位Buffer早上好，今天是2018年11月16日星期五，农历十月初九。今天的早餐铺内容有：Pwn2Own Trifecta：Galaxy S9、iPhone X和小米Mi6成为赚取奖金的对象；Facebook再曝漏洞，可使私人信息泄露；西门子修复防火墙漏洞，确保运营商安全；IDC FutureScape：2019年全球数字化转型预测；清查学生手机电脑，学校的手伸得太长了。

Pwn2Own Trifecta：Galaxy S9、iPhone X和小米Mi6成为赚取奖金的对象

在为期两天的Pwn2Own Trifecta黑客大赛上，Fluoroacetate团队通过堆栈溢出漏洞攻击三星Galaxy S9的基带组件获取了远程代码执行权限，获得50000美元的奖金。MWR实验室综合利用了五种不同的漏洞，拿下了小米6手机，赚了30000美元。当小米6手机连接到黑客控制的Wi-Fi服务器时，该团队能够强制手机的默认网络浏览器导航到恶意网站。iPhone X也未能幸免，Fluoroacetate团队通过Wi-Fi利用了浏览器的JIT漏洞，实现了沙箱逃逸和提权操作，赢下60000美元奖金。

Pwn2Own比赛由黑客自己报攻击设备。今年一共报了11项挑战：三星S9有2项，全部破解成功；iPhoneX有4项，成功2项；小米6有5项，全部破解成功；主办方还设置了华为P20Pro和Pixel2的破解目标，无人报名。[来源： threatpost ]

Facebook再曝漏洞，可使私人信息泄露

Facebook报告了一个安全漏洞，可允许攻击者获取用户及其朋友的某部分个人信息，使得海量用户的隐私受到威胁。该漏洞由Imperva的网络安全研究人员发现，漏洞存在于Facebook搜索功能显示输入查询结果的方式。根据Imperva研究员Ron Masas的说法，显示搜索结果的页面包含与每个结果相关联的iFrame元素，这些iFrame的端点URL没有任何保护机制来防止跨站点请求伪造（CSRF）攻击。Facebook报告该漏洞已修复。[来源： thehackernews ]

西门子修复防火墙漏洞，确保运营商安全

西门子公司周二发布了一系列解决方案，修复了其工业产品线中的八个漏洞。最严重的漏洞包括西门子SCALANCE防火墙产品中的跨站点脚本漏洞。该漏洞允许攻击者未经授权访问工业网络，使得运营商面临严峻风险。SCALANCE防火墙用于保护安全工业网络免受不受信任的网络流量影响，并允许以不同方式过滤传入和传出网络连接。西门子S602、S612、S623、S627-2M和V4.0.1.1之前的软件版本的SCALANCE设备受到影响。

发现该漏洞的Applied Risk的研究人员表示，攻击者可以通过制作恶意链接并欺骗管理员（登录到Web服务器）来单击该链接来执行攻击。管理员执行此操作后，攻击者可以代表管理员在Web服务器上执行命令。“如果管理员被误导访问恶意链接，集成的Web服务器就会允许跨站点脚本攻击，”Applied Risk研究员Nelson Berg在对该漏洞的分析中表示。“漏洞利用成功的话可会导致绕过防火墙提供的关键安全措施。”[来源： threatpost ]

IDC FutureScape：2019年全球数字化转型预测

全球领先的数字化转型（DX）市场研究企业国际数据公司（IDC）于近日发布《IDC FutureScape：2019年全球数字化转型预测》（文件编号US43647118）。在今年DX预测中，IDC根据具体趋势和属性，分析出两类DX化转型群体。一类是数字化转型坚定者——正在对员工、流程和技术等成功要素实施调整；另一类是数字化转型迷茫者——尚未制定必要的企业策略来有效调整企业实现转型。IDC建立在对全球3000多家公司的广泛市场研究和调研数据之上产生了市场领先的分析理解和洞察。IDC预测，到2020年，至少有55%的组织将是数字化坚定者，他们通过新的商业模式和数字化产品与服务来改变市场，重塑未来。[来源： 安全内参 ]

清查学生手机电脑，学校的手伸得太长了

这几天，一份桂林电子科技大学下发的涉及“全面清查在校师生手机、电脑、移动硬盘”等内容的通知引发热议，不少网友认为清查行为涉嫌侵犯隐私。桂林电子科技大学保卫处工作人员介绍，目前该文件中的内容还没有具体落实。广西壮族自治区教育厅高教处一名工作人员表示，教育厅正在关注事件进展，已与涉事学校对接，目前还没有具体处理结果。

据报道，桂林电子科大下发的《关于开展清理涉暴、涉恐、反动、淫秽等违禁、违法音视频工作的通知》第一条明确，此项清查、清理工作的范围及内容为“各单位、学院要对全体教职员工、在校学生的手机、电脑、移动硬盘、U盘等存储介质进行全面清查”。有人据此认为，清查师生的手机、电脑也有一定合理性，诸如不让学生受淫秽违禁内容影响，但是，任何清查必须以遵守法律法规为前提，如果违反了法律法规，所谓“合理性”也就无从谈起。[来源： ithome ]

*Freddy编译整理，转载请注明来自FreeBuf.COM