Adobe 发布安全更新 修复 Acrobat 和 Reader 中 39 个关键漏洞

在今天发布的安全更新中，Adobe 修复了存在于 Acrobat 和 Reader 软件产品中 39 个“关键”级别漏洞。潜在的黑客利用这些漏洞，可以在尚未修复的系统上执行任意代码。其中 36 个漏洞涵盖堆溢出、越界写入（out-of-bounds write）、UAF (Use After Free)漏洞、未信任的指针取消和缓存区错误等，可在受感染设备上执行任意代码；另外 3 个则是安全绕过漏洞，能在入侵后进行提权。

dobe 的 APSB18-41 安全公告中披露的细节，目前受到这些安全漏洞影响的产品版本包括 Acrobat DC (Continuous, Classic 2015), Acrobat 2017, Acrobat Reader DC (Continuous, Classic 2015) 和 Acrobat Reader 2017。Adobe 在他们的支持网站上说，被评为“关键”的漏洞可能允许攻击者成功利用这些漏洞后执行恶意代码，而当前登录用户很可能不知道系统已被入侵。

Adobe 表示：“目前尚未有数据表明有黑客利用这些漏洞发起攻击。根据以往的经验，我们预计攻击不会即将到来。最佳做法就是 Adobe 建议管理员尽快安装更新（例如，在 30 天内）。”此外 Adobe 还修复了存在于 Acrobat 和 Reader 软件产品中 49 个“重要”级别漏洞，涵盖安全绕过、越界写入等等。

参考链接：http://hackernews.cc/archives/24601

市场波动：假新闻吓坏交易算法

据CNBC的休森（Hugh Son）报道，摩根大通集团（J.P. Morgan Chase）顶级数据分析师马克·科拉诺维奇（Marko Kolanovic）在写给客户的短笺中指责当前的媒体格局，新闻真真假假，难以分辨，这让人们更易放大负面新闻。“为加强真假负面新闻的回馈循环，我们对负面情绪与宏观经济现实之间的脱节进行了追踪。”  科拉诺维奇表示，“而且，若我们增加基于贴文与头条的交易算法，这对价格行为与投资者心理的影响是不可估量的。” 高速交易算法可扫描新闻内容，以尝试快速确定是否存在任何影响其投资组合的市场变动信息。但该算法并无足够时间辨别新闻内容的真假。鉴于大多数股票交易都是基于算法的，假新闻不仅困扰民主制度，华尔街也深受其扰。当失去顾客的信任后，品牌方可能损失数十亿的股价。而收益者将是失德的第三方，他们通常利用假新闻牟利并保护自己。

参考链接：https://www.easyaq.com/news/1410292460.shtml

小心 一根数据线就可能会让你的iPhone失去保修

最近我们看到抖音上有种磁吸式的数据线特别火，也非常炫酷的样子，所以在某电商平台购买了这种相似的磁吸式数据线，想看看这一类磁吸式数据线的真实情况到底怎么样。结果表现不是太好，并且因为数据线非MFi认证，有被苹果拒绝保修的风险，那苹果真的是对使用非MFi认证的配件的手机拒绝保修么？真相又是什么？

MFi是苹果公司Made for iOS的英文缩写，是苹果对配件厂商授权生产的一种使用许可标志。通过MFi认证的苹果配件，对其元器件品质，生产工艺都有一定的限制，因此MFi认证对于苹果来说，是对配件厂商的品控限制，保证配件厂商生产符合自家标准的产品。

经过MFi认证的Lightning数据线，苹果会提供MFi认证的芯片，可以保证数据线在设备系统升级后仍然可以正常使用。而非MFi认证的数据线在iPhone、iPad系统升级后，可能会导致设备无法识别，部分连充电功能也会不支持。另外苹果提供的芯片可以保证充电时的稳定输出，对设备本身是一种保护，加上苹果保修政策不支持使用非MFi认证配件导致的损坏，没有MFi认证的配件就像苹果体系里的野孩子一样。这使得带有MFi认证的产品含金量会更高一些，这些年的推广下，如今认知度和识别度都很高，通常会在外包装上印刷上MFi的logo和标识。

随后我致电了苹果官方的客服进行询问，得到了这样的回复（根据实际对话情况进行整理）：“第三方设备造成苹果设备的损坏被认定为非苹果产品质量问题引起的损坏，属于人为原因造成的苹果设备损坏，苹果公司不对人为原因造成损坏的设备进行保修”。这样的回复就和前文官网曾出现过的“如果因为使用非原装、非认证数据线出现问题，苹果有权拒绝保修。”没有出入了。

参考链接：https://www.cnbeta.com/articles/tech/798133.htm

微软登录系统存在漏洞：用户 Office 帐号受影响

据美国科技媒体 TechCrunch 报道，当一系列漏洞串联在一起后可以构成完美的攻击以获得微软用户帐号的访问权限。简言之，就是欺骗用户点击某个链接。 印度“漏洞猎手” Sahad Nk 率先发现微软的子域名“ success.office.com ”未正确配置，给了他接管该子域名的可乘之机。

他利用 CNAME 记录——一个用于将一个域名链接到另一个域名的规范记录——来将未配置的子域名指向他自己的 Azure 实例。TechCrunch 于发布前获悉的一篇文章中，Nk 表示，通过这种方式，他可以接管该子域名，并劫持任何发送到该子域名的数据。

这本身不是什么大问题，但 Nk 还发现，当用户通过微软的 Live 登录系统登录他们的帐号后，微软的 Office、Store 和 Sway 等应用亦可以受骗将其身份验证登录指令发送他新近接管的域名。这是因为这些应用均使用一个通配符正则表达式，从而所有“office.com”字符的域名——包括他新接管的子域名——都能获得信任。

举例来说，一旦受害用户点击了电子邮件中发送的特殊链接，该用户将使用其用户名和密码通过微软的登录系统登录他们的帐号。获得帐号访问指令好比拥有某人的凭据——可以允许攻击者悄无声息地侵入该用户的帐号。

参考链接：http://hackernews.cc/archives/24595

抖音上“马云请不动”的“黑客教父”已被警方抓获！

“马云一个亿聘请被拒绝”“中国最年轻黑客教父”，这一个个响亮的称号被放在了一名无业的青年男子郭某身上。他通过网上虚拟自己的身份信息，录制黑客视频，吸引粉丝充值牟利。12月12日，北京晨报记者独家从北京市公安局网络安全保卫总队（以下简称网安总队）通报，在公安部“净网2018”专项行动中，成功打掉“东方联盟”黑客网站，并将在网上自吹自擂的“黑客教父”郭某抓获。目前，郭某因涉嫌非法利用信息网络罪被海淀分局刑事拘留。

今年10月，网安总队会同海淀分局网安部门在网上巡查中发现，有多篇网帖大肆宣扬鼓吹“黑客教父”郭某，网帖内容煽动性、诱导性强，在互联网黑客圈影响力极大。在帖子中将郭某化作“中国黑客”的领袖，帖子中还称“马云一个亿聘请被拒”。“郭某，曾被公认为是世界上最有天赋的黑客教父之一，他16岁就创办华盟（现东方联盟），作为一个经常出现在黑客和软件会议的人物，他现在除了有属于自己的网络公司，还担任多家公司的高级安全顾问，创办了中国人数最多黑客安全联盟。”不仅如此，帖子中还称“郭某创造了著名的黑客集团‘东方联盟’，很快他就把这个小组织的骨干成员扩大到十多个，2007年，郭某宣布成立华盟，并已成为中国当时最大的黑客组织之一。”

民警发现，网帖中除鼓吹“郭某”个人外，还多次提到了其开办了黑客网站“东方联盟”。民警很快对该网站展开调查，经分析发现，“东方联盟”实为一黑客网站，该网站以收取会员费的方式大肆传播黑客工具、分享黑客技术，其中还包括郭某录制的以“一对一授课”的模式教授黑客犯罪方法。

参考链接：http://www.youxia.org/2018/12/43381.html

联想一台笔记本失窃 内含成千上万名员工未加密数据

IT外媒The Register独家披露，新加坡一名联想员工由公司发放的一台笔记本电脑失窃，里面有亚太区成千上万员工的一大堆未经加密的工资单数据。联想已向员工发去道歉信，承认这个重大的安全问题。联想人力资源和IT安全部门称，“我们写信通知各位，联想已获悉我们的一名新加坡员工最近在2018年9月10日遭遇了办公笔记本电脑失窃。”“遗憾的是，这台笔记本电脑含有工资单信息，包括亚太区员工的员工姓名、月薪金额和银行账号，这些信息并没有加密。”联想在全球拥有54000多名雇员，其中大部分在中国。该信称，目前“没有迹象”表明敏感的员工数据已被“利用或泄露”，联想表示它正与当地警方合作，“全力追查失窃的设备”。

参考链接：https://t.cj.sina.com.cn/articles/view/3172142827/bd130eeb01900bxra