国际资讯

宝马多款车型被曝通用安全漏洞，目前正在升级

腾讯科恩实验室对外发布了宝马多款不同车型上的14个通用安全漏洞，这些漏洞可以通过物理接触和远程无接触等方式触发，据其官方博客透露，目前所有漏洞细节和攻击方法均已得到宝马官方确认。

据其官方博客介绍，研究始于2017年1月，实验室对多款宝马汽车的车载信息娱乐系统（Head Unit）、车载通讯模块（T-Box）和车载中心网关（Central Gateway）的硬件进行研究后，把重点放在了分析汽车暴露在外部的攻击面（包括GSM网络、BMW远程服务、BMW互联驾驶系统、远程诊断、NGTP协议、蓝牙协议、USB以及OBD-II接口），通过对宝马多款车型的物理接触和远程非接触式攻击，证明可以远程破解车载信息娱乐系统、车载通讯模块等，获取CAN总线的控制权。

目前，科恩实验室已经向宝马报告了漏洞和攻击链的详细细节，并提供了技术分析及相关修复建议。

参考链接：https://www.leiphone.com/news/201805/2b2FwJMweT3JkxjN.html

微软和谷歌发现“Specter”漏洞新变体

据外媒 theverge 5月21日消息，微软和谷歌共同披露了一个新的CPU安全漏洞，这个漏洞与今年早些时候披露的 Specter （幽灵）漏洞相似，应该属于变体，存在该漏洞的芯片被广泛应用于计算机和移动设备上。

最新的芯片漏洞被命名为Speculative Store Bypass或“变种4”，因为它与此前发现的漏洞属于同一家族。尽管最新漏洞影响了许多芯片厂商，包括英特尔、AMD和微软旗下的ARM，但研究人员表示新漏洞的风险较低，部分原因是相关公司已在今年早些时候发布补丁解决Spectre漏洞。

在微软公布的安全报告中，称此次发现的漏洞变体可能使得黑客能在浏览器的 JavaScript 中植入攻击脚本。

目前，AMD，ARM，Intel，Microsoft 和 Red Hat 已经发布了安全建议，其中包含漏洞详情以及处理建议。

参考链接：http://news.51cto.com/art/201805/574035.htm

德国Phoenix Contact工业交换机曝高危漏洞

E安全5月23日 安全公司Positive Technologies 近日发现，德国 Phoenix Contact 公司的工业以太网交换机存在4个漏洞，这些漏洞可被远程利用触发 DoS 条件，执行任意代码，并获取潜在敏感信息。

Phoenix Contact 是德国工业自动化、连接性和接口解决方案提供商，其产品主要应用在关键基础设施领域，例如通信、关键制造和信息技术等行业。该公司在全球拥有50个子公司和30个办事机构。

这4个漏洞的编号为：CVE-2018-10728；CVE-2018-10730；CVE-2018-10731；CVE-2018-10729。

参考链接：https://www.easyaq.com/news/1982371811.shtml

黑客事件

美国 Comcast 网站因漏洞泄露 Xfinity 路由器的客户数据

两名研究人员近日发现美国用于激活 Xfinity 路由器的 Comcast 网站会泄露用户的敏感信息。Concast 网站主要用于建立家庭互联网和有线电视服务，可能会被攻击者利用，显示路由器所在的家庭住址以及 Wi-Fi 名称和密码。

测试发现，这个网站会以明文形式返回用户联网的 Wi-Fi 名称和密码，就算修改密码，再次运行进程也能获得新的密码。攻击者可以借此重命名 Wi-Fi 网络名称和密码，暂时锁定用户甚至使用这些信息访问有效范围内的 Wi-Fi 网络，进而读取未加密的流量。 Comcast 目前已经从网站中删除了返回数据的选项，正在着手解决这个问题。

参考链接：http://hackernews.cc/archives/2309

画面被黑客替换成不可描述的场景 政客直播翻车了

“我们好像被黑了，这次可翻车翻大了，赶紧修复吧。”一位主持人说道。开头那句话居然跟“主持人”这个角色联系在了一起，是不是觉得很奇怪？坐稳了，更奇怪的还在后面呢。最近几年，为了迎合年轻选民，老迈的政客们也玩起了高科技，但遇上某些不怀好意的恶作剧显得有些尴尬。5月21日，据外媒报道，在加州第一次国会选区辩论的会场，绿党和民主党的候选人开场白才刚说完，辩论会议的网络论坛直播就被黑客给黑掉了。

如果只是直播中断还好，最让各位衣冠楚楚辩论着的政客们头大的是，黑客黑掉直播后直接在那个频道放起了钙片（你没看错），好面子的国会大佬们知道这个消息后恐怕想死的心都有了。

这次直播一共选了两个直播平台，结果主持人刚开始问候选人问题，直播画面就被替换成了两个纠缠在一起的精壮男子的不可描述画面。

参考链接：http://news.51cto.com/art/201805/574031.htm

联网安全公司服务器配置错误 致大量汽车面临被盗风险

安全研究人员发现，CalAmp（一家为多个知名系统提供后端服务的公司）运营的一台服务器因为错误配置，黑客可借助该漏洞接入账号数据，甚至直接接管相关车辆。发现该问题时，安全专家 Vangelis Stykas和George Lavdanis正在搜寻Viper SmartStart系统中的安全漏洞，这是一款让用户能远程启动、锁闭、解锁或定位车辆的设备，有了它，用户只需操作手机中的应用就能直接完成上述操作。

与其他移动应用类似，这套系统用了 SSL 和证书锁定（Certificate Pinning，已知其服务器用上了硬编码）安全连接来自动拒绝那些提供虚假 SSL 认证连接的网站。

参考链接：http://hackernews.cc/archives/23036

（来源：云天安全搜集整理互联网安全资讯）