Grammarly漏洞可能泄露用户隐私文档

Google Project Zero项目团队发现Grammarly 公司所属Chrome扩展中存在安全漏洞，该漏洞能向所有网站曝光用户的令牌信息，意味着任意网站能够访问用户的文档数据。Grammarly公司已修复该漏洞。

Amazon Key漏洞致摄像头无法正常使用

研究人员发现Amazon Key漏洞可能导致用户摄像头和门锁无法正常使用，攻击者可能通过从远程计算机对网络执行DDoS攻击来使摄像头无法正常使用。

CODESYS WebVisu产品现高危漏洞

Istury IOT研究员在3S-Smart Software Solutions的CODESYS WebVisu产品的Web服务器组件中发现一个基于堆栈的缓冲区溢出漏洞，允许用户在Web浏览器中查看可编程逻辑控制器（PLC）的人机界面（HMI）。

漏洞

Hotspot Shield VPN产品被曝安全漏洞

安全研究人员发现名为Hotspot Shield的VPN产品存在一个严重安全漏洞，该漏洞允许未经身份验证的请求访问本地Web服务器托管的JSONP端点，可能会泄露用户敏感信息（如Wi-Fi网络名称、真实IP地址等）。

思科VPN高危漏洞多款产品受影响

思科发布一个补丁程序，旨在修复影响ASA设备的一个严重漏洞（CVE-2018-0101），该漏洞驻留在设备的SSL VPN功能中，可能会允许未经身份验证的攻击者在受影响的设备上远程执行代码。

Adobe Flash曝零日漏洞

零日漏洞存在于Adobe Flash Player 28.0.0.161之前的版本中，能让攻击者通过网络或邮件传播包含恶意Flash内容的Office文档，获得系统控制权、执行任意代码。微软已发布一个编号KB4074595的新补丁。

思科修复ASA设备严重漏洞

在思科发布补丁后，研究人员发现该漏洞（CVE-2018-0101）还会引起拒绝服务，可能会对ASA平台造成一定影响。思科于近期再次发布了一个安全更新。

Oracle的Micros POS机存高危漏洞

ERPScan团队分析了Oracle公司Micros POS机中存在的高风险安全漏洞，该漏洞允许攻击者在未经验证的情况下对服务器数据库进行访问和读写，以获得用户名和密码，致使公司的整个业务数据都受到威胁。

Lazarus组织正在进行网络钓鱼攻击活动

McAfee研究人员发现网络犯罪组织Lazarus正进行网络钓鱼攻击活动，该活动以比特币为目标，使用了具有长期影响力的复杂恶意软件，用于长期的数据收集。

挖矿蠕虫通过永恒之蓝传播高级加密矿工

安全公司CrowdStrike发现了一款名为WannaMine的新型Monero加密挖掘蠕虫，其利用“永恒之蓝”漏洞进行传播，WannaMine使用凭证收割机Mimikatz来收集用户凭据，从而达到横向移动的目的。CrowdStrike公司称，目前一些矿业的日常运营已经受到WannaMine的影响。

Chrome难抵恶意下载攻击

研究人员发现“技术支持诈骗”攻击也可作用在Chrome浏览器，攻击者利用浏览器的Blob和msSaveblob接口，让浏览器下载成千上万个文件，使浏览器在数秒内失去响应。

僵尸网络Smominru挖掘门罗币

安全研究人员发现一个名为Smominru的新的全球僵尸网络，瞄准Windows系统，利用“永恒之蓝”漏洞来传播门罗币挖矿。

利用下载网站分发Mac加密货币矿工

SentinelOne公司发现，黑客利用热门软件下载网站MacUpdate向Mac用户分发名为 OSX.CreativeUpdate的加密货币挖掘矿工，通过劫持用户设备的CPU秘密窃取门罗币。

BeeToken邮件列表被攻击

加密货币初创企业BeeToken被黑客入侵，攻击者采用钓鱼攻击并成功盗走了部分Ethereum。该公司警告用户谨慎使用电子邮件和Telegram软件。

针对Linux系统发起的SSH暴力攻击

GoSecure公司研究人员发现黑客组织正在对使用弱密码保护的Linux系统发起SSH暴力攻击，以部署一个名为Chaos的后门。据悉，该后门可能会被野外攻击者用于全球范围内Linux服务器。GoSecure公司建议受感染的主机从一个可靠的备份中重新安装，并提供一组新的凭据。

勒索软件GandCrab勒索达世币

LMNTRIX公司发现名为GandCrab的新型勒索软件，该勒索软件通过感染受害用户系统以获得达世币（DASH）赎金，有黑客利用RIG及GrandSoft等开发工具包来分发该勒索软件。

以上信息分别来源于“HackerNews”、“安全客”