1．盤古實驗室對外披露ZipperDown漏洞

盤古實驗室在針對不同客戶的iOS應用安全審計過程中，發現了一類通用的安全漏洞ZipperDown，攻擊者可以通過該漏洞對應用程序進行破壞，讓應用功能和權限受到影響，目前已經排查出約10%的iOS應用可能有此問題，這些大概有15979個應用，其中包括大量的主流APP。

2．墨西哥銀行支付清算系統遭攻擊，銀行被盜款項數額不明

近日，墨西哥央行企業支付和服務系統的局長Lorenza Martinez表示，央行的銀行間電子支付系統 (SPEI) 至少遭受了五次攻擊。多家銀行遭攻擊，被盜款項不明。

Martinez 指出，某些交易並未得到相關銀行的承認。在某些情況下，這些轉賬在目的地銀行得以完成，並被以現金形式提取。

3. 谷歌修復導致數百萬網頁遊戲崩潰的Chrome漏洞

Google最近發布了一項Chrome更新，該更新修復一個導致數百萬網頁遊戲崩潰的漏洞，該漏洞會導致各種神奇的報錯，其中一些會使遊戲無法播放音頻文件。這個漏洞是在4月中旬的Chrome 66版本被發現的。該版本的一大特點是它能夠阻止帶有自動播放音頻的網頁，雖然該功能是針對帶有廣告及自動播放視頻的頁面，但它顯然具有副作用，會意外導致HTML5和基於JS的網頁遊戲強制靜音。

4. PANDA Banker惡意軟件攻擊銀行機構、加密貨幣交易平臺及社交媒體

安全公司 F5 近日發布報告，稱黑客利用 PANDA Banker 惡意軟件頻繁攻擊銀行機構、加密貨幣交易平臺以及社交媒體。PANDABanker 的主要特征是竊取賬號和憑證，進而利用“man in the browser”攻擊竊取受害者財物。 F5 表示，PANDA Banker 持續針對日本公司發起攻擊，同時，美國、加拿大以及拉丁美洲的金融機構也沒能幸免。報告表明，PANDA Banker 最初只攻擊全球的金融服務，但隨著全球掀起加密貨幣熱潮，在線加密貨幣交易服務也成了 PANDA Banker 的目標。社交媒體、搜索網站、電子郵件甚至×××等可能被用於挖礦的途徑也都紛紛淪陷。

5．暴走漫畫內部整頓停止更新：多個APP無限期關停！

6. 26％的公司忽略安全漏洞，借口是沒有時間去修復！

上個月在RSA安全大會上收集的一項調查顯示，盡管大多數公司都采取了合適的安全措施，但其中一些公司甚至故意忽視安全缺陷，其原因包括缺乏時間和缺乏專業技術等各種原因。該調查匯集了來自RSA會議公司的155位安全專業人員的答案，結果顯示只有47％的組織在得知消息後立即修補漏洞。最令人擔憂的是，部分公司在漏洞出現之後等待相當長的一段時間才打好補丁。

調查顯示，並非所有公司都使用補丁。大約26％的受訪者表示，他們的公司忽視了一個嚴重的安全漏洞，因為他們沒有時間去修復它。

7. DDoS放大攻擊新手段：利用UPnP協議繞過防禦

研究人員發現，黑客現在采用新的手段來對抗反DDoS方案。黑客會使用通用即插即用（UPnP）協議來掩蓋網絡數據包的源端口。DDoS解決方案公司Imperva表示，它發現至少有兩次DDoS攻擊用到了這種技術。問題的來源在於通用即插即用（UPnP）協議，這個協議原本的目的是簡化在本地網絡上發現附近設備的過程。

此功能能夠被用來穿透NAT，網絡管理員也可以遠程訪問內網裏的服務。使用UPnP進行DDoS可以達到顯著的效果，因此如果沒有意外的話會被黑客們廣泛使用。建議大家如果沒有使用的需要就把路由器的UPnP功能關閉。

8. 近400個政企網站感染Coinhive惡意軟件，秘密挖掘加密貨幣

來自 Bad Packets Report 的安全研究員Troy Mursch 發現，使用過時版本的 Drupal 內容管理系統的一些網站正在成為黑客挖掘加密貨幣的受害者。這次活動襲擊了約 400 個網站，雖然主要目標是美國的政府機構和教育機構，但多家科技公司的網站也感染了該病毒。

5月第3周業務風控關註 | 盤古實驗室對外披露ZipperDown漏洞