各位 Buffer 早上好，今天是 2018 年 5 月 18 日星期五，农历四月初四。今天的 BUF 早餐内容主要有：ZipperDown漏洞影响10% iOS软件；谷歌修复导致数百万网页游戏崩溃的Chrome漏洞；美国参议院投票支持保留《网络中立法》；人民日报批移动搜索乱象：个人信息被用于精准欺诈；知情人士透露剑桥分析将数据分享给俄罗斯情报机构。

安全资讯早知道，两分钟听完最新安全快讯~

【应用安全】

ZipperDown漏洞影响10% iOS软件 

盘古安全团队研究员本周早些时候表示，他们发现了一种影响10％ iOS应用程序的漏洞（ZipperDown）。据称，ZipperDown漏洞是“一种常见的编程错误，会造成数据覆盖等严重后果，甚至导致任意代码执行。”

盘古团队表示，他们创建了一个自动扫描规则在iOS应用库中检索ZipperDown。在扫描的168,951个iOS App中，有15978个受到了ZipperDown漏洞的影响，占比高达10%，其中也包括QQ音乐、微博、QQ空间、快手、微信读书等国人常用应用。

 

 

除iOS大规模中招以外，Android App也未幸免于难，盘古团队也将继续发布更多相关细节。

好消息是，利用ZipperDown并不像其他漏洞那样直截了当，攻击者必须处于网络中才能劫持或欺骗设备流量。此外，iOS和Android上的沙盒也可以有效限制ZipperDown漏洞。

[来源：bleepingcomputer]

【Web安全】

谷歌修复导致数百万网页游戏崩溃的Chrome漏洞

Google昨天发布了一项Chrome更新，该更新修复一个导致数百万网页游戏崩溃的漏洞，该漏洞会导致各种神奇的报错，其中一些会使游戏无法播放音频文件。

这个漏洞是在4月中旬的Chrome 66版本被发现的。该版本的一大特点是它能够阻止带有自动播放音频的网页，虽然该功能是针对带有广告及自动播放视频的页面，但它显然具有的副作用，会导致HTML5和基于JS的网页游戏强制静音。

今天发布的Chrome for Desktop v66.0.3359.181已经解决了这个问题，但据说只是暂时的。外媒联系了Google询问更多细节，下面是Google工程师对此漏洞的评论。

我们已更新Chrome 66以临时删除Web Audio API的自动播放策略。此更新不会影响网络上的大多数媒体播放器，因为自动播放策略对<视频>和<音频>仍然有效。我们这样做是为了让Web Audio API开发人员（例如游戏、音频应用和一些RTC功能）有更多时间来更新他们的代码。

该策略将于Chrome 70（10月）中重新应用于Web Audio API。 开发人员可以根据以下建议更新代码：

来源：[bleepingcomputer]

【网络安全】

美国参议院投票支持保留《网络中立法》

美国参议院周三以52比47票通过了保留《网络中立法》的提案，该法案旨在要求所有网络数据得到平等对待，是美国实施互联网监管长达数年之久的重要一步。这次投票标志着过去数十年中关于访问规则争议的新动向，不过，要真正保住《网络中立法》，仍然面临不少挑战。

许多政客们认为，网络中立法问题将刺激年轻人积极参加2018年的国会选举投票。调查显示，公众普遍反对废除该法案。

让我们像对待公共利益一样对待互联网。我们不允许水务公司或电信运营商歧视用户，我们不会限制人们进入州际高速公路，说你可以进，而他不能进。所以，我们也应当这样对待互联网。

参议院民主党领袖Chuck Schumer说道。

但相应的，代表宽带运营商的美国电信则对此表示失望。

这次投票打破了我们维持一个开放、繁荣的互联网的共同目标。消费者希望获得永久性、全面的在线保护，而不是国会代表的半年或选举年措施。

[来源：securityweek]

【数据安全】 知情人士透露剑桥分析将数据分享给俄罗斯情报机构
#p#分页标题#e#

因社交巨头Facebook大规模用户数据泄漏事件而臭名昭著的剑桥分析（Cambridge Analytica）公司，近日正面临来自美国司法部和联邦调查局（FBI）的调查，调查缘由或与其涉嫌操纵2016年美国总统大选有关。

5月16日，该公司前员工Christopher Wylie出席美国国会听证会，听证会对剑桥分析对2016年美国大选造成影响以及如何使用脸书的数据进行了讨论。

据悉，Wylie告诉专家组，俄罗斯裔美国研究员Aleksandr Kogan创建了一份收集Facebook用户档案数据的应用程序，同时在俄罗斯资助的项目上开展工作，其中包括“行为研究”。

这意味着，除了Facebook的个人数据在俄罗斯被传播以外，剑桥分析公司也很可能是俄罗斯安全部门的情报目标，且俄罗斯安全部门可能早已被告知剑桥分析保存的Facebook数据。

Wylie在他的书面证词中说。

此外，听证会上另一名举报人提到，在英国投票决定退出欧盟的决议前，英国人的个人数据也可能被泄露并滥用。

[来源：securityweek]

【国内资讯】

人民日报批移动搜索乱象：个人信息被用于精准欺诈

据悉，人民日报记者在手机端下载几个知名移动搜索APP，先后在这些APP和部分内置浏览器的搜索栏输入“胸闷”一词，发现搜索结果的前几条甚至首页均被医院广告占领，广告打着“中医品牌”“名师诊疗”的标签，来院路线、坐诊专家、咨询电话等信息一应俱全，严重“霸屏”。此外，北京一位网友反映，前阵子在淘宝搜索了一个产品，接着就在其他搜索端被推送了相关产品的广告，“贴心”服务不贴心，不同应用场景中留下的数据被“通用”了。

与PC端不同，手机端集合了大量个人数据，各种垂直类平台的发展也使用户分散在不同平台，尤其是医疗、教育、招聘、生活类信息搜索中涉及不少个人敏感信息，容易被不法分子搜集进而实施精准欺诈或广告轰炸，成为移动搜索泄露信息的高发区。

据悉，百度近日已对公司全线产品进行了隐私现状排查及优化，组建了专门的用户隐私治理小组，平台去年累计处理20.8万个“涉嫌窃取用户隐私”的恶意网站；饿了么建立完善的账户风控体系，外卖平台及物流系统都已通过公安部《信息系统安全等级保护》评估认证，并加强对员工用户隐私安全的培训； 5月《信息安全技术个人信息安全规范》实施后，知乎将根据要求继续升级相关保护机制……

专家表示，个人信息的保护需要国家相关监管部门、互联网应用服务商、用户三位一体、形成合力。平台要恪守规范、把好内容、增强自律，用户也要不断提升自我保护意识和能力。