Twitter正在测试端到端加密的私信

今天是5月10日星期四，今天的主要内容有：微软2018年5月补丁修复67个漏洞，包括IE零日漏洞；“Hide and seek” 物联网病毒在设备重启的情况下依然有效；Office 365 中的 0-day 漏洞 baseStriker 出现在野利用实例；Twitter正在测试端到端加密的私信；百度软件中心版putty被曝恶意捆绑软件。

安全资讯早知道，两分钟听完最新安全快讯~

【漏洞攻击】
微软2018年5月补丁修复67个漏洞，包括IE零日漏洞

微软今天早些时候发布了2018年5月Patch Tuesday安全公告，其中包含针对67个安全漏洞的补丁。

本月，微软修复了Microsoft Windows，Internet Explorer，Microsoft Edge，ChakraCore，.NET Framework，Microsoft Exchange Server，Windows Host Compute Service Shim和Microsoft Office以及Microsoft Office Services和Web Apps的安全漏洞。

这些漏洞中最严重的要数Internet Explorer 0day漏洞，该漏洞在本月早些时候被用于实施攻击。这个CVE-2018-8174漏洞不仅影响IE，还会影响嵌入IE Web渲染引擎的任何其他项目。微软同时表彰了奇虎360核心安全团队和卡巴斯基实验室研究人员。

第二个零日为CVE-2018-8120，Win32k组件中的权限提升漏洞。微软还修复了CVE-2018-8141（Windows内核信息泄露漏洞）和CVE-2018-8170（Windows Image权限提升漏洞，这两个漏洞的信息都被公布到了网上，但微软表示它们没有在现实中被利用。

[BleepingComputer]

“Hide and seek” 物联网病毒在设备重启的情况下依然有效

安全研究人员发现了第一个能够在设备重启后驻足系统的物联网僵尸病毒，它在攻击系统后能够保留在设备上。

这是IoT僵尸病毒的重大改变，以往的病毒，设备使用者只需要重置设备就可以移除那些病毒。

重置操作会刷新设备闪存，设备的所有工作数据也是保留在内存中的，包括那些病毒。

但现在，Bitdefender的研究人员宣布他们发现了一种物联网恶意软件，在某些情况下会复制到/etc/init.d/，这个路径被Linux系统用来放置守护程序脚本，通过把病毒置于其中，设备在重新启动后会自动启动恶意软件的进程。

[BleepingComputer]

Office 365 中的 0-day 漏洞 baseStriker 出现在野利用实例

Avanan的研究人员发现 Office 365 中出现了一个名为 baseStriker 的 0-day 漏洞。攻击者可利用这个漏洞发送恶意邮件，绕过 Office 365 的账户安全机制。

baseStriker 漏洞的代码使用了不常用的 <base> HTML 标签，利用这个标签，再结合浏览器会合并URL和相对路径的特性，攻击者可以绕过Office 365的安全机制在邮件中执行恶意代码。

Avanan 研究员对多种电子邮件服务都进行了测试，结果发现只有 Office 365 易受 baseStriker 攻击。

baseStriker 漏洞曝光才一周左右，研究人员就发现了相关的在野利用实例。有黑客利用这个漏洞发送网络钓鱼攻击，还能分发勒索软件、恶意软件和其他恶意内容。Avanan 已经与微软联系并报告了相关调查结果，但微软尚未反馈。

[FreeBuf]

【行业动态】
Twitter正在测试端到端加密的私信

安全研究人员发现，Twitter正在测试一项名为“Secret Conversation”的新功能，为其私信功能实现端到端加密，

Twitter计划对其私信采用端到端加密，该公司目前正在测试其名为“秘密对话”的新服务。

马萨诸塞州达特茅斯大学的Jane Manchun Wong发现了这个功能，她注意到最新版本的Twitter应用程序包（APK）中包含Secret Conversation功能。

端对端加密技术能够让对话者之间进行安全通信以防止窃听，许多公司已经添加了支持，包括WhatsApp，Facebook和Skype。

[SecurityAffairs]

【国内新闻】
百度软件中心版putty被曝恶意捆绑软件