微软解释说，攻击者最终可以创建具有完全用户权限的帐户，最终获得访问权限以丢弃其他有效负载并控制设备。

作者/来源： 安华金和

据外媒 Softpedia 报道，微软 Windows 10 更新助手中的一个安全漏洞使攻击者可以执行具有 SYSTEM 权限的代码。CVE-2019-1378 中记录了这个权限提升漏洞。微软解释说，攻击者最终可以创建具有完全用户权限的帐户，最终获得访问权限以丢弃其他有效负载并控制设备。

微软表示：“Windows 10 更新助手以处理权限的方式存在一个权限提升漏洞。经过本地身份验证的攻击者可以以更高的系统权限运行任意代码。成功利用此漏洞后，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。”

该漏洞由 Jimmy Bayne 发现并报告给微软，无论安装了哪个版本的 Windows 10，该漏洞都存在于 Windows 10 更新助手中。

外媒指出，某些计算机在安装 KB4023814 更新之后最终会运行 Windows 10 更新助手。但是，此更新仅适用于运行 Windows 10 版本 1803（2018 年 4 月更新）及更高版本的设备，并且专门用于准备升级到 Windows 10 版本 1903（2019 年 5 月更新）。

另一方面，如果手动安装了更新工具，则在 Windows 10 版本 1903 上运行 Windows 10 更新助手的设备也容易受到攻击。

微软已经发布了新版本的更新助手来解决此漏洞，建议用户尽快安装它。修复此漏洞的唯一方法是手动安装此新版本，至少要将此安装到通过 Windows Update 自动发送到设备的新更新中。完全删除 Windows 10 更新助手显然也可以阻止攻击。

微软表示，该漏洞是秘密披露的，被利用的可能性较小，目前还没有关于该漏洞被攻击者利用的报道。

来源：cnBeta.COM

更多资讯

苹果更新 Windows 版 iTunes 修补了勒索软件攻击漏洞苹果已经修补了之前在 iTunes 和 Windows 版 iCloud 中被发现的 Bonjour 漏洞，以避免勒索软件继续发动攻击。该漏洞实际上允许恶意软件在 Windows 中执行，看起来它是一个受信任的应用程序。精心设计的攻击者可以利用 iTunes 和 Bonjour 数字签名，绕过系统针对恶意软件的防护。

来源：cnBeta.COM

详情链接： http://www.dbsec.cn/blog/article/5226.html

注册 20 万个假账号薅走奶粉两万多桶 90 后男子获刑一名 90 后男子针对某一 App 购买奶粉买一送一的优惠活动，竟注册了 20 万个账号，利用技术漏洞“薅”走两万多桶奶粉，非法获利六万余元。

来源：央视新闻

详情链接： http://www.dbsec.cn/blog/article/5227.html

Google Play 商店发现能够自行隐藏图标的恶意广告应用总部位于澳大利亚的 SophosLabs 研究人员最近发现了 15 个应用程序，这些应用程序除了在 Android 设备上积极展示广告外似乎没有其他作用。这些程序的名称和产品描述，从 QR 阅读器到图像编辑应用程序不等。使这些应用程序更加隐蔽的是，它们隐藏了自己的应用图标，使它们更难从手机中删除。其中一些程序甚至在设置中使用不同的名称和图标来伪装自己。

来源：cnBeta.COM

详情链接： http://www.dbsec.cn/blog/article/5228.html

3 毛一份账单 2 元一份明细 你的隐私值多少钱？你的隐私值多少钱？据网络流传的一份数据公司个人信息报价表，3 毛能买到你在外卖平台的基本信息和账单详细信息，2 元就能买到你在某主流购物平台的交易明细及关联账号的借贷信息……在几乎人手一部智能手机的时代，各种 APP 丰富了大众的生活。一般下载完 APP 后，都会要求用户授权读取摄像头、麦克风、地理位置等。

来源：中国新闻周刊

详情链接： http://www.dbsec.cn/blog/article/5229.html

（信息来源于网络，安华金和搜集整理）

点击“了解更多”可访问文内链接