【安全帮】Microsoft Teams 升级机制允许黑客执行任意文件

Microsoft Teams 升级机制允许黑客执行任意文件

据 BleepingComputer 美国时间 6 月 29 日报道，多位安全研究人员发现当前在 Microsoft Teams 桌面应用中实现的“ update ”升级机制允许黑客在系统上下载和执行任意文件，研究人员表示，对易受攻击的应用程序使用“ update ”命令可以在当前用户的上下文中执行任意二进制文件。目前，研究人员已向微软报告了这个问题。

参考来源：

https://www.leiphone.com/news/201906/tjmeeQPD7FOwJVBA.html

EA Origin 现安全漏洞： 3 亿名用户或受到威胁

游戏服务出现安全漏洞不是什么新鲜事，日前，来自 Check Point Research 和 CyberInt 的研究人员就公开了一个来自 EA Origin 服务的漏洞。 Origin 是 EA 推出的一个类 Steam 的数字发行平台，由于它是在 PC 上获得新发行 EA 游戏的唯一途径，所以它拥有不少的用户，目前已经达到数百万。该漏洞允许黑客可以无需先盗取登录凭证的情况下就能劫持原始账户。他们可以通过使用废弃的子域名窃取身份验证令牌并利用 OAuth 单点登录和 EA 登录系统内置的信任机制来访问这些帐户。

参考来源：

https://www.aqniu.com/industry/50683.html

Firefox 69 将加入随机密码生成器

预计将在 9 月初发布的 Firefox 69 将 包含一个随机密码生成器 。 Chrome 则早在一年前就提供了类似的功能。目前用户可通过测试版本 Firefox Nightly 使用随机密码生成器，该功能位于设置 — “隐私和安全”的“登陆和密码”下。 Firefox 应该使用的是操作系统提供的随机数生成器去生成足够随机的密码。随机的密码比重复使用相同的密码要安全得多。根据 Mozilla 的时间表， Firefox 69 还将默认禁用 Flash 。

参考来源：

https://www.solidot.org/story?sid=61172

特斯拉称上海汽车自燃非系统故障

今年 4 月，上海徐汇区一小区地下车库发生火灾，监控视频 显示 一辆特斯拉 Model S 汽车疑似自燃，周围的两辆奥迪和雷克萨斯也遭到不同程度的烧损。特斯拉官方微博 公布了调查报告 ，称不是系统故障而是电池问题。报告称，通过对电池、软件、制造数据和车辆历史数据的大量深入调查，没有发现系统缺陷，初步判断该事故由位于车辆前部的单个电池模组故障引起。特斯拉称，电池出现烟雾后，电池包安全系统按设计预期将火控制在电池的特定模组内，向外排出热量，电池包其余部分保持完整，如果车内有人员的话也有时间能安全撤离。

参考来源：

https://www.solidot.org/story?sid=61168

FDA 警告黑客攻击风险 美敦力宣布召回 MiniMed 胰岛素泵

美国食品和药物管理局（ FDA ）本周四发布公告，称美敦力（ Medtronic ）公司已经启动了关于 MiniMed 胰岛素泵的召回活动。据公司表示，部分 MiniMed 胰岛素泵存在一个无法修复的关键网络安全问题，从而能让黑客远程无线访问这些问题。目前召回的胰岛素泵此前曾在美国和国际市场上销售。美敦力公司宣布于 6 月 27 日开始召回数千台 MiniMed 和 Paradigm 胰岛素泵，表示存在“潜在的网络安全风险”。公司表示这些具有无线射频连接功能的胰岛素泵型号可能被有权利的黑客访问技能和装备。

参考来源：

https://nosec.org/home/detail/2730.html

挖矿木马伪装成盗版软件攻击 Mac 电脑

近日，来自 Malwarebytes 的研究人员发现了一款为 Mac 电脑而设计的加密货币挖掘恶意软件，该软件名为 Bird Miner ，主要针对使用 Ableton Live 10 盗版软件的用户。虽然加密货币挖掘恶意软件（也称为加密劫持软件）并不是什么新鲜事，但此次发现的恶意软件特别之处在于：它是通过在 Mac 上模拟 Linux 来运行的。研究人员认为， Bird Miner 以这种方式运作，表明开发人员可能更熟悉 Linux ，但并不是特别精通 macOS 。

参考来源：

https://www.secrss.com/articles/11619

Soul 回应下架整改：深入自查自改，严格审核相关功能和内容

日前，国家网信办会同有关部门，针对网络音频乱象启动专项整治行动。根据群众举报线索，经核查取证，首批依法依规对吱呀、 Soul 、语玩、一说 FM 等 26 款传播历史虚无主义、淫秽色情内容的违法违规音频平台，分别采取了约谈、下架、关停服务等阶梯处罚，对音频行业进行全面集中整治。有关负责人表示，此次专项整治不仅要坚决有效遏制行业乱象，也要积极规范行业发展，促进网络生态持续向好。

参考来源：

https://www.lieyunwang.com/archives/456249