📘 🚇 🥄 安全周18：iOS文本炸弹 👨🏽‍🔬 🤶🏻 🚶

如果从不同类型的漏洞中收集了最佳匹配的假想集合，则各种输入处理错误将在那里占据最佳位置。禁用程序或整个系统的最古老的方法之一是zip炸弹 -一种小型归档文件，根据时代的不同，它可以部署到数百兆字节，千兆字节或PB的数据中。但是，归档文件仍然需要下载并尝试解压缩。文本炸弹更加有趣-消息的格式会导致程序崩溃或使整个系统崩溃。在即时通讯程序和移动设备的世界中，尤其如此。

上周，在针对苹果移动设备的iOS操作系统中发现了一种用于移动设备的单消息暂停机制（新闻）。 iOS错误地处理了Unicode标准中包含的巴基斯坦官方语言之一的信德语的至少一个字符。在电话或平板电脑上显示此类符号时，会出现各种难度的故障，在最坏的情况下，需要重新启动设备。带有困难符号的消息必须显示在屏幕上，社交网络的客户端或Messenger中，但是如果启用了消息预览，则在显示通知时也会导致失败。换句话说，重新启动后，如果有人决定完全控制您，则您可能会再次陷入软件或整个系统的崩溃。

文本炸弹的发现者是未知的。在越狱iPhone爱好者的社区Reddit上，他们发布了此祸害的自制补丁，提到了上周分发的Twitter消息（如摘要开头的屏幕截图所示），出于某种原因，在信义语符号的符号上加上了意大利国旗。该标志不参与该错误的操作。为了避免大规模骚扰，在该社区中严格禁止发布自然字符。您可以查看代码中的字符代码“被入侵” iPhone的补丁。我们不会在这里发布它，并且我们不建议您。不好笑。这是一个错误，但不是漏洞：软件崩溃不会导致代码执行，至少没有此类消息。在当前的Beta版本的iOS中，该问题已解决，但是在社交网络和即时通讯程序中正式发布更新之前，可能会发生狂欢。

13.4.5的iOS的测试版本在邮件客户端的Apple Mail（也被关闭两个错误消息）。根据ZecOps团队的说法，这两个漏洞都会在打开准备好的邮件时导致邮件客户端数据泄漏。 ZecOps声称，iOS 6的旧版本也容易受到攻击，并且自2018年以来，“匿名”攻击者已在“现场”利用了这些漏洞。但是，苹果公司认为没有主动攻击。：“对用户没有立即的威胁。”

如果iOS中的文字炸弹令人讨厌，那么允许您窃取Microsoft Teams服务中的帐户访问权限的恶意GIF怎么办？ CyberArk发现了此漏洞（新闻，研究）研究人员发现弱点不在图像处理器中，而是在一种机制中，该机制使您可以跟踪谁共享了此平台中的协作对象。由于Microsoft Teams可以在用户计算机上集成云服务，私有公司服务器和软件，因此需要一个相当复杂的图像归因系统，并需要传递识别用户的令牌。在Microsoft网站上添加这两个子域，理论上可以使用子域接管过程将流量切换到攻击者，我们得到以下情况。您将准备好的GIF发送给用户。图片在服务中注册，并且用户令牌转移到* .microsoft.com子域。攻击者将流量重定向到他自己的此子域并接收令牌。使用授权密钥，您已经可以代表受影响的用户访问云服务API，并接收有关公司内部结构的各种私人信息。

还有什么事

Nintendo确认通过Nintendo网络ID 入侵了 16万个帐户。这是一个旧系统，特别是用于Nintendo 3DS和Wii U控制台中的帐户，但是通过此旧帐户，您还可以使用公司的现代网络服务，例如Nintendo Switch。入侵NNID已导致用户帐户中的虚拟资金被盗。

Team Fortress 2和CS：GO多人游戏的源代码已泄漏。源代码通常是私下分发的，并且仅在开发人员的合作伙伴Valve Software之间公开提供。 Valve表示，这是对已经在2018年出现在网络中的资源的“重新加载”，因此，您不应指望会有新的攻击手段来攻击游戏玩家。

上周广泛讨论了泄漏问题该数据库包含25,000个电子邮件地址和密码，据称由世界卫生组织，比尔和梅琳达·盖茨基金会以及武汉病毒研究所的雇员拥有。最有可能的是，这是一个庞大的数据库示例，该数据库包含网络服务早期泄漏的数据，有人为此而创建。同时，根据Google威胁分析小组（和其他公司）的说法，主题COVID-19积极用于对不同国家/地区的政府机构进行网络钓鱼攻击。

发现了一个有趣的例子，说明Skype Messenger 的合理的密码网络钓鱼。

Palo Alto Networks 调查了针对易受攻击的Zyxel NAS设备的僵尸网络。并在ESET中进行了分析三个不同制造商的智能家居中枢的漏洞。坏消息是：有可能远程拦截整个家庭IoT基础架构的控制。好消息是，所调查的漏洞已经被制造商关闭，其中一些很早以前就已被关闭。坏消息是：并非所有集线器所有者都按时交付更新。

安全周18：iOS文本炸弹

还有什么事

More articles: