谷歌 ProjectZero 研究小组一名成员周四晚表示，攻击者正在利用谷歌 Android 移动操作系统中的零日漏洞，使他们完全控制至少 18 种不同手机，包括 4 种不同型号的谷歌 Pixel 手机。

Maddie Stone 在帖子中说，有证据表明漏洞利用者 NSO Group 或其客户之一正在积极利用该漏洞。漏洞利用几乎不需要定制即可完全扎根易受攻击的手机。可以通过两种方式利用此漏洞：

（1）当目标安装不受信任的应用程序时，

（2）通过将此漏洞与针对chrome浏览器用于呈现内容代码的漏洞攻击结合使用。

Maddie Stone 表示，该漏洞是一个本地特权升级漏洞，它可以完全破坏易受攻击的设备，受此漏洞影响的设备如下：

• Pixel 1
• Pixel 1 XL
• Pixel 2
• Pixel 2 XL
• 华为 P20
• 红米5A
• 红米 Note 5
• 小米A1
• Oppo A3
• Moto Z3
• Oreo LG phones
• 三星 S7
• 三星 S8
• 三星 S9

谷歌 Android 团队表示，谷歌 10 月 Android 安全更新将修补此漏洞，该更新可能会在未来几天内发布给 Pixel 系列手机用户。修补其他设备的时间表尚不清楚。Pixel 3 和 Pixel 3a 设备不受影响。

来源：cnBeta.COM

更多资讯

微软向 Windows Update 推送 KB4524147 更新 修复 IE 零日漏洞

十天前，针对一个新的 IE 远程代码执行漏洞，微软通过 Update Catalogue 发布了修复更新。但是现在，该公司似乎有足够的信心向所有受支持的 Windows 10 版本推送，有需要的用户可直接通过 Windows Update 获取更新。

来源：cnBeta.COM
详情链接：https://www.dbsec.cn/blog/article/5190.html 

FBI 正调查 2018 年投票应用黑客行为是否与密歇根大学课程相关

三名知情人士告诉美国有线电视新闻网（CNN），试图入侵2018年中期选举中使用的移动投票应用程序可能是高校学生在研究安全漏洞，而不是试图更改任何选票。西弗吉尼亚州南区美国律师迈克·斯图尔特（Mike Stuart）在周二的新闻发布会上透露，Voatz 投票应用遭遇一次不成功的入侵程序，联邦调查局的调查“正在进行中”。

来源：cnBeta.COM
详情链接：https://www.dbsec.cn/blog/article/5191.html 

俄罗斯联邦储蓄银行调查信用卡数据泄露

俄罗斯最大的储蓄银行（Sberbank）正在调查一起疑似信用卡数据泄露事件，称雇员的“犯罪行为”可能是泄露的主要原因。该银行表示，正在进行内部调查，可能会影响至少200个客户帐户。 

来源：ZDNet
详情链接：https://www.dbsec.cn/blog/article/5192.html 

EA 网站 snafu 泄露 1600 名 FIFA 20 职业玩家的数据

游戏公司 Electronic Arts（EA）修复了一个网站故障，该故障不小心泄露了大约 1600 位在其网站上注册的用户的个人详细信息。该网站用于 EA 的 FIFA 20 全球系列赛，这是该公司最近推出的 FIFA 20 足球主题游戏的竞争性比赛。

来源：界面
详情链接：https://www.dbsec.cn/blog/article/5193.html 

（信息来源于网络，安华金和搜集整理）