?? 病毒安全情報

2021年12月6日 至 2021年12月12日

▎國內(nèi)安全
?· 01 ·?
聯(lián)想電腦管家病毒安全監(jiān)測

?· 02?·?

工信部第三季度下架163款A(yù)PP

2021年第三季度，工信部對國內(nèi)主流手機應(yīng)用商店的55萬款應(yīng)用軟件進行技術(shù)檢查，公開通報了601款A(yù)PP存在違規(guī)收集使用個人信息及強制、頻繁、過度索權(quán)等問題，工信部下架163款拒不整改的APP，主要互聯(lián)網(wǎng)企業(yè)開屏信息“關(guān)不掉”基本解決，“亂跳轉(zhuǎn)”誤導(dǎo)用戶問題也大幅度下降至1%。根據(jù)通告，目前已有158家網(wǎng)站和APP初步完成適老化改造，取得階段性的成效，一些著重點互聯(lián)網(wǎng)企業(yè)的電子商務(wù)類應(yīng)用專為老年人簡化搜索、支付等操作流程，另外部分交通應(yīng)用還上線了“一鍵訂票”“一鍵叫車”等服務(wù)。

▎全球安全

?· 01 ·?

沃爾沃汽車披露安全漏洞導(dǎo)致研發(fā)數(shù)據(jù)被盜

沃爾沃汽車制作商披露，一些未知攻擊者在黑客入侵其部分服務(wù)器后竊取了研發(fā)信息，沃爾沃已意識到其中一個文件存儲庫被第三方非法訪問，迄今為止的調(diào)查證實，在入侵期間，該公司的有限數(shù)量和研發(fā)財產(chǎn)被盜，可能會對公司運營造成影響，沃爾沃表示已經(jīng)通知了相關(guān)部門，與第三方專家一起調(diào)查數(shù)據(jù)被盜事件。值得慶幸的是，沃爾沃據(jù)目前掌握的信息補充并未發(fā)現(xiàn)對客戶的汽車或個人數(shù)據(jù)的安全造成影響。

?· 02 ·?

美國大學遭受到針對Office 365賬戶的釣魚攻擊

據(jù)BleepingComputer網(wǎng)站報道，一些網(wǎng)絡(luò)釣魚攻擊者正通過假冒美國大學網(wǎng)站登錄頁面，騙取學生和教職人員的Office 365賬號密碼。據(jù)信，釣魚行為最早開始于今年10月份，有多名攻擊者參加實施，安全機構(gòu)Proofpoint分享了有關(guān)網(wǎng)絡(luò)釣魚攻擊中使用的策略、技術(shù)和程序 (TTP) 的詳細信息。這些釣魚活動始于一封電子郵件，攻擊者充分利用了疫情環(huán)境下人們的焦慮情緒，偽裝成有關(guān)最新奧密克戎(Omicron)變體、COVID-19 測試結(jié)果等信息，利用受害者點擊郵件中的HTM附件，將他們引導(dǎo)至由攻擊者精心準備的虛假學校網(wǎng)站登錄頁面。這些虛假頁面堪稱真實頁面的克隆版，不僅外觀幾乎一樣，URL也使用類似的命名模式，比如采用教育機構(gòu)單位使用的.edu后綴。在此次美國大學的釣魚事件中，HTM包含指向能夠竊取憑證站點的網(wǎng)站鏈接。有時這些網(wǎng)站會是合法的的WordPress站點，只是被攻擊者入侵并利用，因此當受害者登陸時，安全軟件或電子郵件保護工具不會發(fā)出警報。攻擊者為了繞過目標大學頁面上的MFA保護，還創(chuàng)建了欺騙雙重MFA頁面的虛假頁面，以騙取受害者的手機驗證碼，受害者完成上述操作后，攻擊者就成功獲取到了他們的賬戶控制權(quán)。在獲取受害者的Office 365賬戶后，攻擊者可訪問相應(yīng)的電子郵件賬戶，向其他人發(fā)送消息，以進一步進行網(wǎng)絡(luò)釣魚。此外，攻擊者還可訪問相關(guān)聯(lián)的OneDrive和SharePoint文件夾中的個人敏感信息，并由此引發(fā)勒索危機。由于HTM 文件要在瀏覽器中打開，因此從技術(shù)上講，即使最后沒有上當受騙，但從點擊的那一刻起就已經(jīng)存在安全隱患，最好的辦法，就是對這種未經(jīng)充分認證且來歷不明的郵件直接刪除。

?· 03 ·?

Log4j漏洞影響數(shù)以萬計的應(yīng)用

廣泛使用的 Java 日志庫 Log4j 爆出了非常容易利用的 0day 漏洞，通過發(fā)送特定字符串攻擊者能遠程執(zhí)行代碼，有數(shù)以百萬計的應(yīng)用受到影響。漏洞利用的?POC 代碼已發(fā)布在 GitHub 上，它被編號為?CVE-2021-44228。受影響的服務(wù)包括 Steam、APPle iCloud、游戲如 Minecraft，任何使用 Apache Struts 的服務(wù)都可能受到影響。在漏洞爆出之后，玩家就開始在 Minecraft 的聊天功能中嘗試利用漏洞，部分 Twitter 用戶改變顯示名字去觸發(fā)漏洞，蘋果用戶也嘗試了類似的漏洞利用。

?? 彈窗攔截情報

2021年12月6日 至 2021年12月12日
聯(lián)想電腦管家彈窗攔截監(jiān)測

?? Windows?資訊

2021年12月6日 至 2021年12月12日

?· 01 ·?

win11文件資源管理器將添加融合PowerToys功能

12 月 7 日消息，據(jù) Windows Latest 報道，Windows 文件資源管理器集成了用戶的照片、視頻、文檔、電子表格等。在 Windows 10 和 Windows 11 上，我們可以快速、輕松地查看其中的一些文件，而不必打開其鏈接的應(yīng)用程序。這可以通過文件資源管理器的預(yù)覽面板實現(xiàn)，通過點擊“查看”選項卡來嘗試Windows文件管理器中的預(yù)覽面板。當“查看”選項卡時，需要選擇預(yù)覽窗格，然后點擊希望查看的文件。如果該文件格式被支持，你將能夠在資源管理器本身中查看該文件的預(yù)覽。通過 PowerToys，微軟一直在測試文件管理器的附加組件，以擴展預(yù)覽窗格的默認功能?，F(xiàn)有的 PowerToys 擴展添加了預(yù)覽 SVG 和 markdown 文件的能力，這對程序員和 Web 開發(fā)人員來說特別方便。微軟現(xiàn)在正計劃通過一個新的擴展將文件資源管理器的預(yù)覽體驗提升到新的水平。目前文件資源管理器對文本文件格式的支持有限。有許多文本文件不能在預(yù)覽窗格中預(yù)覽，這尤其影響開發(fā)人員使用的文件。由于獨立開發(fā)者Aaron Junker 和微軟之間的合作，這項功能已經(jīng)在開發(fā)之中。這將允許在 Windows 11 或 Windows 10 文件資源管理器中預(yù)覽幾乎所有流行的文本相關(guān)文件格式。

?· 02·?

win11“刷新”功能遭大量用戶吐槽

很多用戶已經(jīng)習慣使用刷新功能，但是在最新版本中微軟把右鍵中的刷新（Refresh）“按鈕挪到了更多選項”的子菜單下，被用戶瘋狂吐槽后終于改正?？墒?，改正后的刷新僅限于桌面右鍵，資源管理想要刷新文件夾就不行，還是要去隱蔽的菜單中尋找。在Windows反饋社區(qū)中大量用戶反饋希望全局刷新，可以在Win11上回歸，對此微軟工程師Jen Gentleman回復(fù)稱很重視用戶意見，對于有文件夾刷新需求的用戶，可以點擊地址欄的刷新按鈕或者使用鍵盤上的F5。

?行業(yè)快訊

2021年12月6日 至 2021年12月12日

?· 01 ·?

Meta正式開放虛擬世界—元宇宙

Meta（face book前身）周四宣布，旗下的VR世界“Horizon Worlds”正式向美國和加拿大的18歲以上的人群開放，Horizon是一款社交/工作平臺，供用戶在元宇宙中創(chuàng)建內(nèi)容與互動，在Horizon Worlds中，Oculus虛擬現(xiàn)實頭戴設(shè)備用戶可以創(chuàng)建一個沒有雙腿的化身形象，在虛擬世界中四處游蕩。在那里，他們可以與其他用戶的化身進行互動，甚至可以一起玩游戲。去年已向少數(shù)用戶推出了測試版本，用戶需要接收到邀請函才可以加入虛擬世界，但該軟件現(xiàn)已正式發(fā)放，用戶不需要再接受邀請也可進入Horizon Worlds的測試版。

—— END ——
· 溫馨提示 ·

聯(lián)想設(shè)備的用戶如果遇到解決不了的系統(tǒng)或硬件問題，可通過聯(lián)想電腦管家“我的客服“功能一鍵聯(lián)系官方在線客服，獲得專屬服務(wù)和解決方案。也可通過微信公眾號“聯(lián)想電腦管家”聯(lián)系在線客服。