Spectre1.1新变种曝光

麻省理工的安全研究人员揭露幽灵（Spectre）安全漏洞新变种（Spectre 1.1/ CVE-2018-3693）会产生投机性的缓冲区溢出，使得本地攻击者可以在脆弱的系统上执行任意不受信任的代码。

Mega文件存储服务泄露数万用户帐户凭据

研究人员现发现，新发现并扩散的VPNFilter恶意软件已影响全球数千台设备，这些设备还存在其他19个漏洞，这增强了VPNFilter恶意软件的威胁。

Chrome修复幽灵漏洞 内存占用增多

谷歌宣布Chrome浏览器对Spectre漏洞进行了修复，以防止恶意代码依靠漏洞执行加载到本地。但修复操作将在大型负载下多占用10%-13%运 行 内 存。Windows、Mac包括Chrome OS平台的Chrome都在此次修复之列。

漏洞

Oracle全系产品7月关键补丁更新

Oracle官方发布今年7月关键补丁更新公告，修复了334个不同程度的漏洞。其中CVE-2018-2893漏洞由绿盟科技发现并提交，通过该漏洞，攻击者可以在未授权的情况下远程执行任意代码。

Chrome浏览器页面冻结bug死灰复燃

据Ars Technica报道，Google Chrome 65浏览器中的一个漏洞，竟再次被骗子利用，诈骗者利用冻结浏览器、同时试图用虚假的报错信息说服用户“给微软打电话”，以窃取信息，但该漏洞又在Chrome 67中出现。

Javascript恶意代码被植入Exif参数中

Sucuri公司研究人员称，黑客将Javascript代码注入图片Exif参数中， 被注入恶意软件的图片仍然会加载并正常工作，一旦用户打开Word文档，这些远程图像就会自动加载，任何下载图片的用户都会受到攻击。

Ubuntu Launchpad被爆安全漏洞

Ubuntu Launchpad被爆存安全漏洞，机器进入低功耗模式后，任意用户卸下硬盘就能绕过锁屏界面，漏洞确认影响16.04.4版本，但不确认其他版本是否受影响。

OSX.Dummy恶意软件在MacOS传播

MacOS上传播一种被称为OSX.Dummy的新型恶意软件，攻击者通过欺骗和引导用户下载和执行恶意二进制文件，如果文件被执行，且恶意软件连接到对手的C2服务器（命令控制服务器），攻击者就可以控制目标系统。

新银行木马窃取证书、密码等敏感信息

思科Talos安全团队发现新银行木马，通过散布看似软件公司开出的账单请求，实则为恶意软件的钓鱼邮件，从而窃取受害者银行证书、密码和其他敏感信息。

针对比特币的恶意软件感染百万用户僵

据外媒cointelegraph报道，一款针对比特币用户的恶意软件已经感染了230万个目标用户，该软件被称为“剪贴板劫机者”，将会秘密在后台运行，并且将用户复制到剪贴板中的比特币地址替换为攻击者的地址，用户就会在不知不觉中粘贴错误地址并为攻击者发送加密货币。

Red Hat发布内核更新修复BUG

Red Hat宣布面向Red Hat Enterprise Linux（RHEL）7 和 CentOS Linux 7操作系统推出全新的内核更新来修复一个严重的BUG,该BUG导致偶尔会发生数据接连丢失情况。

APT窃取D-Link数字证书签署恶意软件

ESET公司发现，APT组织滥用从D-Link网络设备制造商和安全公司窃取的有效数字证书签署其恶意软件，伪装成合法应用程序。

恶意软件伪装成游戏作弊外挂

游戏软件Rainway报道，有恶意软件伪装成自瞄功能的外挂软件，有尝试使用作弊外挂的《堡垒之夜》玩家感染恶意软件被劫持用于中间人攻击，注入各类恶意广告或者恶意网址。

银行恶意软件Dorkbot复出

据Check Point公司称，已有6年历史的银行恶意软件Dorkbot在2018年重新出现，如今Dorkbot是一种木马，使用网络注入窃取用户的凭据。

iOS 12验证码自动填充功能存在隐患

苹果公司iOS 12的“安全码自动填充”功能通过自动读取短信中的验证码，可节省在Safari等应用中手动输入表单的麻烦。但安全专家称，让用户验证这一重要信息，正是出于安全的考量。移除这一过程，会使它变得无意义，容易让用户和银行都暴露于别有用心的攻击者面前。

Rakhni木马被改造后变身勒索软件

2013年被发现的Rakhni木马被改造成为勒索软件，黑客使用该勒索软件加密或矿工感染受害者，其通过电子邮件垃圾邮件活动进行分发，一旦受害者点击，它就会启动恶意可执行文件。

以上信息分别来源于“HackerNews”、“安全客”、“安全加”、“安天”