每日安全简讯(20191119)

1  主题为密码过期的网络钓鱼活动窃取用户凭据

新的网络钓鱼活动中电子邮件声称用户密码将过期并被更改，指出用户需要单击“保持相同密码”按钮，否则密码将过期。用户点击后，将被带入要求登录到邮件服务器的页面，以窃取登录凭据并能够访问电子邮件帐户。然后，攻击者就可以执行BEC骗局或接管用户在同一电子邮件地址下使用的其它帐户。


https://www.bleepingcomputer.com ... rd-will-be-changed/

---

2 研究人员发现可能导致远程执行代码的安卓漏洞

NowSecure研究人员发现了可能导致远程执行代码的严重安卓漏洞。研究人员发现安卓使用基于Chromium项目代码的库libpac，该库使用静态链接的V8 JS引擎来解析JavaScript，这导致使用libpac的PacProcessor服务崩溃，此崩溃是由于ArrayBuffer分配器的声明不正确而导致的栈上VPTR的可利用覆盖。研究人员目前无法找到一种可靠的方法来远程利用这个漏洞，但创建了一个本地概念验证(PoC)，使用一个恶意应用程序调用PAC脚本，并使用必要的url来触发这个漏洞。此漏洞已被分配为CVE-2019-2205，谷歌已在2019-11-01安全公告中修复该漏洞。


https://www.nowsecure.com/blog/2 ... ote-code-execution/

---

3 谷歌修复Gmail动态电子邮件功能中的XSS漏洞

研究人员在谷歌Gmail电子邮件中的AMP4Email功能发现XSS漏洞。AMP4Email也称动态电子邮件，是Gmail于7月推出的新功能，使动态内容更容易显示在电子邮件中。AMP4Email具有一个验证系统，可以防止该功能被滥用进行跨站点脚本（XSS）攻击。某些标签和属性被列入白名单，如果有人尝试添加其它不允许的元素或属性，就会出现错误。但安全研究人员注意到，在标记中id属性并没有被禁用，进而研究人员调查发现AMP4Email可能受到DOM Clobbering攻击，DOM（文档对象模型）Clobbering攻击是由于涉及数字消息传递时复杂性的逐渐增加引起。该白名单中的问题可被利用来部署XSS攻击。目前谷歌已解决该漏洞。


https://www.zdnet.com/article/go ... erability-in-gmail/

---

4 购物网站Nykaa存在影响近百万客户数据的漏洞

安全研究人员在印度购物网站Nykaa Fashion数据库中发现了一个潜在的API漏洞，该漏洞可能会危害将近一百万名客户的详细信息，包括订单详细信息、邮件标识、名称、电话号码和电子邮件地址。在研究人员向该网站报导该漏洞后，Nykaa在两天内修复该漏洞，并表示没有任何个人或财务数据遭到破坏。


https://economictimes.indiatimes ... leshow/72101784.cms

---

5 数千个流媒体服务“迪士尼+”账户遭黑客劫持

迪士尼新推出的流媒体服务“迪士尼+”，仅向公众开放了几天的时间内，已有数千个账户遭黑客劫持。研究人员在不同的暗网论坛上发现了多个迪士尼+的帐户列表，售卖金额在3到5美元之间。目前发现任何证实遭到劫持的根本原因，但研究人员猜测可能与用户在不同网站或者在线账户中重用密码的行为有关。


https://www.forbes.com/sites/lee ... -on-hacking-forums/

---

6 德里警方破获针对加拿大公民的国际呼叫中心骗局

印度德里警方11月17日破获针对加拿大公民的国际呼叫中心骗局。该网络犯罪团伙由32人组成，使用工具包括55台电脑、3个互联网分配交换机、3个跳线端口、2个互联网路由器、35个手机、诈骗脚本页面、电信软件和VOIP（互联网）呼叫拨号器。欺诈者使用非法技术，VOIP电话，绕过合法的国际长途(ILD)关口，以免受不存在的社会保险号（SIN）违规的虚假借口欺骗在加拿大的人民，部分诈骗者假装是加拿大官员，通过电话欺骗加拿大受害者。目前该事件正在进一步调查中。


https://in.news.yahoo.com/delhi- ... ting-141426291.html

---