每日安全简讯(20210223)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 近3万台Mac被Silver Sparrow恶意软件感染

在首批针对苹果M1芯片的恶意软件被发现几天后，研究人员又披露了一个之前未被发现的恶意软件，研究人员在大约3万台运行Intel x86_64和苹果M1处理器的Mac电脑中发现了它。网络安全公司Red Canary称该恶意软件为“ Silver Sparrow”，它有两种不同版本，一种仅针对Intel x86_64编译，并于2020年8月31日上载到VirusTotal，另一种与Intel x86_64和M1 ARM64架构都兼容。


https://thehackernews.com/2021/0 ... lware-infected.html

---

2 白帽黑客发现iCloud网站存在XSS漏洞

白帽黑客Vishal Bharad在苹果icloud.com网站上寻找跨站请求伪造(CSRF)、不安全的直接对象引用(IDOR)和其他漏洞时，意外地发现了一个存储型XSS漏洞。Bharad发现的漏洞位于iCloud上托管的Pages和Keynote软件中，为了验证此漏洞的存在，他创建了一个演示文稿，并在其名称字段中输入了XSS有效载荷，然后与目标用户共享了指向该文档的链接。


https://securityaffairs.co/wordp ... law-icloud-com.html

---

3 网络摄像头公司NurseryCam披露了数据泄露

NurseryCam是一种网络摄像头，可以让父母在孩子上托儿所时观察孩子。近日，总部位于吉尔福德的NurseryCam公司向家长们披露了一起数据泄露事件。NurseryCam公司表示，他们认为这起事件并没有涉及任何儿童或工作人员在未经允许的情况下被监视，但作为预防措施，已关闭服务器。NurseryCam公司告诉BBC，全英国约有40家托儿所使用该服务。该公司表示，其系统中的“漏洞”已被用来从父母的帐户中获取数据。


https://news.yahoo.com/parents-a ... each-164917570.html

---

4 RMIT称其宕机恢复工作取得了重大进展

皇家墨尔本理工大学(RMIT University)表示，在恢复其系统方面已经取得了重大进展。上周五有报道称，该大学已成为网络钓鱼攻击的受害者。RMIT的一位发言人表示:“RMIT在恢复受上周中断影响的许多IT系统访问方面取得了重大进展。校园课程正在如期进行，我们期待着学生们在这周参加一系列的迎新活动。”然而，RMIT的工作人员将继续远程工作，使恢复工作更容易继续进行，IT服务团队正在努力解决影响访问该大学的应用程序和系统的问题。


https://www.zdnet.com/article/rm ... -fridays-it-outage/

---

5 黑客正利用谷歌警报推送假冒的Adobe Flash更新

黑客正在利用谷歌警报来宣传一个假冒的Adobe Flash Player更新程序，该更新程序会在毫无戒心的用户计算机上安装其他恶意程序。这些黑客用包含热门关键词的标题捏造虚假的故事，谷歌会对这些关键词进行搜索，然后进行索引，一旦被索引，谷歌警报将提醒关注这些关键字的人。这个周末，研究人员观察到一个攻击者伪造的新闻报导重定向到一个新的广告，该广告指出您的Flash Player已过时，然后提示您安装更新程序。如果用户单击“更新”按钮，他们将下载setup.msi文件，然后安装名为“ One Updater ”的恶意程序。


https://www.bleepingcomputer.com ... dobe-flash-updater/

---

6 FBI发出呼叫中心面临电话拒绝服务攻击风险的警告

美国联邦调查局(FBI)警告电话拒绝服务(TDoS)攻击呼叫中心的后果，在某些情况下可能威胁到人们的生命。TDoS攻击可能导致电话系统不可用，无法拨打和接听电话，当攻击者以911或其他紧急呼叫中心为目标时，这是一种可怕的场景。TDoS攻击可以是手动的，也可以是自动的。手动TDoS攻击背后的攻击者利用社交网络鼓励个人同时呼叫呼叫中心。自动化的TDoS攻击利用特定的应用程序，使攻击者可以同时进行数十或数百次呼叫。


https://securityaffairs.co/wordp ... ttacks-warning.html

---