网安动态SublimeVim 等多款流行文本编辑器存在特权升级漏洞；美 35 个州及哥伦比亚特区决定自行立法

Posted 2021-04-15 互联网新技术新应用动态

内容提要：

1. Sublime、Vim 等多款流行文本编辑器存在特权升级漏洞

2. 美 35 个州及哥伦比亚特区决定自行立法或签署行政命令保护“ 网络中立 ”

3. 开发者噩梦：欧盟希望过滤上传到互联网的所有代码

4. “ 奥巴马照片 ”身份证被用来开卡盗刷 漏洞在哪里？

5. 日本加密货币交易所 Coincheck 宣布将停止处理三种致力于隐私性的加密货币

6. 研究人员发现4G网络漏洞 可使服务器瘫痪

7. 数千万用户数据遭泄露 欧美政界要求扎克伯格回应

8. 5000万用户数据被曝失窃 Facebook：公司已提升阻止能力

9. 黑客试图在沙特石油化工厂引发爆炸

1.Sublime、Vim 等多款流行文本编辑器存在特权升级漏洞

据报道，在最近一系列利用漏洞插件的攻击之后，SafeBreach的研究人员探讨了具有第三方可扩展性机制的高级文本编辑器如何被滥用来提升设备权限，并针对 Unix 和 Linux 系统检查了几种流行的可扩展文本编辑器（Sublime、Vim、Emacs、Gedit、pico / nano）。经过研究发现，除 pico / nano 之外，所有受检查的编辑器都受到了一个关键的特权升级漏洞影响，攻击者可以利用这个漏洞在运行易受攻击的文本编辑器的目标设备上运行恶意代码。

2.美 35 个州及哥伦比亚特区决定自行立法或签署行政命令保护“ 网络中立 ”

据报道，本周，加利福尼亚州提出一项保留“ 网络中立 ”的法案，它的全面性甚至可能会压倒美联邦通信委员会( FCC )最近采取的保护措施。推出法案是美国各州反抗 FCC 去年作出的废除“ 网络中立 ”决定的唯一方法。据Fight for the Future 组织统计，目前已经有 35 个州以及哥伦比亚特区为此作出了努力，当中就包括了自行立法和通过颁布行政命令保护“ 网络中立 ”。

3.开发者噩梦：欧盟希望过滤上传到互联网的所有代码

欧盟的一项提案要求托管内容的所有平台检查所有上传的内容有无侵犯版权，这可能会使软件的成本更高昂。欧盟考虑的一项版权提案旨在让盗版者更难共享内容和媒体，但是这张网撒得太广了，可能无意中阻碍程序员。欧盟考虑的一项版权提案要求托管由用户上传的大量内容的任何平台扫描所有内容，以确保没有侵犯版权。该提案旨在防止媒体盗版，但可能会给使用代码仓库 GitHub 等服务的广大开发者带来严重影响，按照新法律 GitHub 将被迫过滤代码。

4.“ 奥巴马照片 ”身份证被用来开卡盗刷 漏洞在哪里？

尽管没有发生实际损失，潘女士对自己几天前遭遇的银行卡盗刷事件仍心有余悸。3 月 3 日半夜，潘女士收到招商银行短信显示其支付宝绑定的借记卡，被消费 4 笔总计 5500 元，潘女士当即选择了报警。潘女士告诉经济观察报，自己的支付宝被新绑定了两张并非自己办理的虚拟借记卡，一张是交行、一张建行。在和银行的进一步沟通中，潘女士得知，就在自己被盗刷的前一天，3 月 2 日，不法分子利用其身份证信息在交行办理了一个二类户，并通过捆绑该二类户信息在银联云闪付 APP 陆续开出了两个三类户。

5.日本加密货币交易所 Coincheck 宣布将停止处理三种致力于隐私性的加密货币

此前遭受黑客攻击的日本加密货币交易所 Coincheck 宣布将停止处理三种致力于隐私性的加密货币门罗币（Monero）、达世币（Dash）和Zcash。据《日本时报》报道，此举可能是应日本金融局（FSA）提出的交易所安全性改善要求。

6.研究人员发现4G网络漏洞 可使服务器瘫痪

此前遭受黑客攻击的日本加密货币交易所 Coincheck 宣布将停止处理三种致力于隐私性的加密货币门罗币（Monero）、达世币（Dash）和Zcash。据《日本时报》报道，此举可能是应日本金融局（FSA）提出的交易所安全性改善要求。

7.数千万用户数据遭泄露 欧美政界要求扎克伯格回应

据彭博，此前广告数据公司Cambridge Analytica未经数千万Facebook用户同意而擅自保留用户信息。对此，美国和欧洲的政府官员要求扎克伯格作出答复，并向议会议员作证。

8.5000万用户数据被曝失窃 Facebook：公司已提升阻止能力

媒体曝FaceBook 5000万用户数据失窃，引发人们对于数据安全新的担忧。对此Facebook表示：“已经提升了发现和阻止第三方软件开发者违规行为的能力”。Facebook还表示，将不会再让开发者使用Facebook的登录工具窥探用户以及用户好友名单的信息。

9.黑客试图在沙特石油化工厂引发爆炸

针对沙特阿拉伯一家石化工厂的新的网络攻击成了头条，黑客在8月试图袭击基础设施。据纽约时报报道，黑客袭击了沙特阿拉伯的石化工厂，幸运的是，这次袭击由于代码故障而失败。“8月份，一家在沙特阿拉伯工厂生产的石化公司遭到了一种新的网络袭击。调查人员认为，这次袭击的目的不是简单地破坏数据或关闭工厂。这意味着破坏公司的运行并引发爆炸。“纽约时报报道。调查人员并没有将这次袭击归咎于某个特定组织/人物，但是在匿名条件下接受纽约时报采访的人们解释说，网络攻击可能旨在引发一场可以保证伤亡的爆炸。由于恶意代码中的错误导致关闭系统关闭，因此网络攻击没有造成严重后果。