谷歌修复导致数百万网页游戏崩溃的Chrome漏洞

各位 Buffer 早上好，今天是 2018 年 5 月 18 日星期五，农历四月初四。今天的 BUF 早餐内容主要有：ZipperDown漏洞影响10% iOS软件；谷歌修复导致数百万网页游戏崩溃的Chrome漏洞；美国参议院投票支持保留《网络中立法》；人民日报批移动搜索乱象：个人信息被用于精准欺诈；知情人士透露剑桥分析将数据分享给俄罗斯情报机构。

安全资讯早知道，两分钟听完最新安全快讯~

【应用安全】

ZipperDown漏洞影响10% iOS软件 

盘古安全团队研究员本周早些时候表示，他们发现了一种影响10％ iOS应用程序的漏洞（ZipperDown）。据称，ZipperDown漏洞是“一种常见的编程错误，会造成数据覆盖等严重后果，甚至导致任意代码执行。”

盘古团队表示，他们创建了一个自动扫描规则在iOS应用库中检索ZipperDown。在扫描的168,951个iOS App中，有15978个受到了ZipperDown漏洞的影响，占比高达10%，其中也包括QQ音乐、微博、QQ空间、快手、微信读书等国人常用应用。

 

 

除iOS大规模中招以外，Android App也未幸免于难，盘古团队也将继续发布更多相关细节。

好消息是，利用ZipperDown并不像其他漏洞那样直截了当，攻击者必须处于网络中才能劫持或欺骗设备流量。此外，iOS和Android上的沙盒也可以有效限制ZipperDown漏洞。

[来源：bleepingcomputer]

【Web安全】

谷歌修复导致数百万网页游戏崩溃的Chrome漏洞

Google昨天发布了一项Chrome更新，该更新修复一个导致数百万网页游戏崩溃的漏洞，该漏洞会导致各种神奇的报错，其中一些会使游戏无法播放音频文件。

这个漏洞是在4月中旬的Chrome 66版本被发现的。该版本的一大特点是它能够阻止带有自动播放音频的网页，虽然该功能是针对带有广告及自动播放视频的页面，但它显然具有的副作用，会导致HTML5和基于JS的网页游戏强制静音。

今天发布的Chrome for Desktop v66.0.3359.181已经解决了这个问题，但据说只是暂时的。外媒联系了Google询问更多细节，下面是Google工程师对此漏洞的评论。

我们已更新Chrome 66以临时删除Web Audio API的自动播放策略。此更新不会影响网络上的大多数媒体播放器，因为自动播放策略对<视频>和<音频>仍然有效。我们这样做是为了让Web Audio API开发人员（例如游戏、音频应用和一些RTC功能）有更多时间来更新他们的代码。

该策略将于Chrome 70（10月）中重新应用于Web Audio API。 开发人员可以根据以下建议更新代码：

来源：[bleepingcomputer]

【网络安全】

美国参议院投票支持保留《网络中立法》

美国参议院周三以52比47票通过了保留《网络中立法》的提案，该法案旨在要求所有网络数据得到平等对待，是美国实施互联网监管长达数年之久的重要一步。这次投票标志着过去数十年中关于访问规则争议的新动向，不过，要真正保住《网络中立法》，仍然面临不少挑战。

许多政客们认为，网络中立法问题将刺激年轻人积极参加2018年的国会选举投票。调查显示，公众普遍反对废除该法案。

让我们像对待公共利益一样对待互联网。我们不允许水务公司或电信运营商歧视用户，我们不会限制人们进入州际高速公路，说你可以进，而他不能进。所以，我们也应当这样对待互联网。

参议院民主党领袖Chuck Schumer说道。

但相应的，代表宽带运营商的美国电信则对此表示失望。

这次投票打破了我们维持一个开放、繁荣的互联网的共同目标。消费者希望获得永久性、全面的在线保护，而不是国会代表的半年或选举年措施。

[来源：securityweek]

【数据安全】 知情人士透露剑桥分析将数据分享给俄罗斯情报机构