BUF大事件丨sudo被曝新漏洞;人脸识别安全漏洞,15分钟解锁19款安卓手机
2021-01-29 17:16:24 Author: www.freebuf.com(查看原文) 阅读量:112 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,人脸识别再曝安全漏洞,15分钟解锁19款安卓手机;sudo被曝隐藏了十年的堆溢出漏洞;PC微信扫描浏览器Cookies,腾讯回应;工信部通报2021年首批157款侵害用户权益行为APP名单。想要了解详情,来看本周的BUF大事件吧!

观看视频

内容梗概

人脸识别再曝安全漏洞,15分钟解锁19款安卓手机

人脸识别技术在智能手机上已经是标配,今天的我们刷脸解锁、刷脸支付就像吃饭喝水一样自然。最近,来自清华的 RealAI团队向我们展示了一项简单的攻击技术,只需一副定制的“眼镜”,就可以秒秒钟破解手机的面部识别系统。所需的工具也很常见:一台打印机、一张A4纸、一副眼镜框。通过AI算法绘制特殊花纹,打印下来裁剪成眼镜的形状,贴在眼镜框上,15分钟内,除了一款iPhone 11,成功解锁了其余所有19部安卓机型。安全研究员提醒:如果有黑客恶意开源这一算法的话,会给人脸识别技术带来全新的安全挑战。

不用密码就能获取root权限?sudo被曝新漏洞

近日,Qualys研究小组发现了sudo中一个隐藏了十年的堆溢出漏洞(CVE-2021-3156,命名:Baron Samedit),包括Linux在内的几乎所有Unix主流操作系统都受到影响。利用这个漏洞,任何本地用户无需身份验证(密码),也能获得root权限。也就是说,攻击者完全可以利用这个漏洞,直接接管主机系统!考虑到该漏洞的攻击面很广,Qualys建议所有用户立即为这个漏洞应用补丁或升级到sudo 1.9.5p2以上版本。

PC微信扫描浏览器Cookies,腾讯:目前无法重现问题

上周我们报道了PC版QQ读取用户浏览记录的新闻,近期有用户发帖称,自己使用火绒安全添加QQ扫描浏览器cookies的拦截规则后,却意外拦截到微信PC版扫描cookies行为。而且WeChat.exe每次启动时都会尝试扫描电脑上所有使用Chromium内核的浏览器注册表。腾讯技术人员在原帖中回复:通过该用户提供的路径多次尝试,都未能重现问题,初步怀疑可能与用户的环境相关或浏览器内核(chromium 53)的漏洞有关。

工信部通报2021年首批157款侵害用户权益行为APP

1月22日,工信部发布《关于侵害用户权益行为的APP通报(2021年第1批,总第10批)》,通报了今年首批157款侵害用户权益行为的APP。这次的通报名单中,腾讯动漫、芒果TV、360清理大师、QQ同步助手等人们常用的APP赫然在列。依据《网络安全法》《电信条例》等法律法规要求,督促上述APP在1月29日前完成整改落实工作。


文章来源: https://www.freebuf.com/video/262467.html
如有侵权请联系:admin#unsafe.sh