不越狱也能窃取苹果iOS信息

病毒危害：

苹果的应用都是经过App Store审查过的，因此基本上不会存在恶意软件的可能。除非用户对苹果设备进行了越狱，同时安装了未经审核的第三方应用。不过最近安全公司Trend Micro称，发现了一款全新的恶意软件XAgent。该恶意软件借助了苹果的Ad Hoc provisioning系统进行传播，该系统主要用于企业或开发者向小部分测试者分发应用，从而可以轻松地绕过苹果App Store的审查。当这款恶意软件安装到iOS系统后，可以窃取苹果设备中的相片、短消息、联系人等数据，然后将它们上传到黑客指定的FTP服务器，从而造成个人信息的泄露。

防范措施：

在2014年年底的时候，我们介绍过一款名为WireLurker的恶意软件，也是可以破坏没有越狱的苹果设备。只不过当时采用的方式和这次有非常大的区别，比如这次的恶意软件需要用户根据向导进行手动安装才能进入系统。所以为了安全起见，不要随意点击带有APP的链接。

XSS 0day漏洞来袭

小心落入钓鱼网站

漏洞危害：

虽然谷歌浏览器已经成为世界上使用最广泛的浏览器，但是Windows系统自带的IE浏览器依然是很多人的选择。但是最近IE浏览器出现了一个XSS 0day漏洞，黑客通过诱导用户进入一个恶意网站，接着利用该XSS漏洞绕过Windows系统的同源策略，从而盗取网站验证用户身份的Cookie信息。一旦得到用户的Cookie等信息，黑客就可以访问网站的某些限制区域，而这些限制区域包括信用卡数据、浏览历史和其他机密数据等，而正常情况下该区域只有受害用户才可以访问的。除此以外，钓鱼网站也可以利用该漏洞，诱骗用户泄露他们在敏感网站的登录密码等信息。

防范措施：

虽然这是一个全新的0day漏洞，但是微软声称尽快进行漏洞的修复。不过在此之前，建议大家暂时换用其他第三方浏览器来上网。当然开启杀毒软件的防挂马反钓鱼等功能，也可以有效保证IE浏览器用户的上网安全。

联想笔记本

预装广告软件引发关注

安全危害：

就在春节这个合家团聚的日子，联想的笔记本却摊上了大事。因为有安全专家发现联想的笔记本电脑中，预装有一种名为Superfish的广告软件。与普通的广告软件不同的是，这款软件会同时安装一个自签名的CA证书。但是最近安全人员发现并公布了一个密码，任何人借助这一密码以及适当的网络软件，在同一个Wi-Fi网络中都有可能监视联想笔记本用户的网络行为，或者向其网络数据流中植入恶意软件。比如能在未经用户许可的情况下影响IE和Chrome等浏览器上的Google搜索结果，并能在用户浏览的网页中嵌入自己的广告，同时能进行SSL加密数据的劫持监听等操作。

防范措施：

由于这件事情在全球范围引起广泛的关注，因此联想在第一时间推出了相应的卸载工具，通过它可以删除Superfish软件以及对应的CA证书。不过很快就有安全人员发现，Superfish广告软件并不是个案，因为至少有10款软件存在同样的安全风险。