青莲晚报（第三十五期）| 物联网安全多知道

小米A1信息泄露漏洞

CVE编号：CVE-2018-18698 

危害级别：中

影响产品：小米A1 8.1.0版本、小米A1 OPM1.171019.026版本和小米A1 9.6.4.0.ODHMIFE版本

漏洞描述：小米A1 8.1.0版本、小米A1 OPM1.171019.026版本和小米A1 9.6.4.0.ODHMIFE版本中存在信息泄露漏洞，该漏洞源于在将手机设置为热点的过程中设备在logcat中存储了明文Wi-Fi密码，攻击者可利用该漏洞获取Wi-Fi密码。

参考链接：hxxps://github.com/0x5h1v4m/CVE-ID-s/blob/master/CVE-2018-18698/MI%20A1.txt

苹果iOS Messages UI欺骗漏洞

CVE编号：CVE-2018-4391

危害级别：中

影响产品：Apple iOS 12.1之前版本

漏洞描述：Apple iOS 12.1之前版本中的Messages组件存在安全漏洞。攻击者可借助特制的文本消息利用该漏洞伪造UI。

参考链接：hxxps://support.apple.com/zh-cn/HT209192

解决方案：目前厂商已发布升级补丁以修复漏洞，补丁获取链接（hxxps://support.apple.com/zh-cn/HT209192）

苹果macOS Spotlight内存破坏漏洞

CVE编号：CVE-2018-4393

危害级别：高

影响产品：苹果macOS Sierra 10.12.6和苹果macOS High Sierra 10.13.6

漏洞描述：苹果macOS Sierra 10.12.6版本和macOS High Sierra 10.13.6版本中的Spotlight组件存在安全漏洞。攻击者可利用该漏洞以系统权限执行任意代码（内存破坏）。

参考链接：hxxps://support.apple.com/zh-cn/HT209193

解决方案：目前厂商已发布升级补丁以修复漏洞，补丁获取链接（hxxps://support.apple.com/zh-cn/HT209193）

苹果macOS Security拒绝服务漏洞

CVE编号：CVE-2018-4395

危害级别：中

影响产品：苹果macOS Sierra 10.12.6和苹果macOS High Sierra 10.13.6

漏洞描述：苹果macOS Sierra 10.12.6版本和macOS High Sierra 10.13.6版本中的Security组件存在安全漏洞。本地攻击者可利用该漏洞造成拒绝服务。

参考链接：hxxps://support.apple.com/zh-cn/HT209193

解决方案：目前厂商已发布升级补丁以修复漏洞，补丁获取链接（hxxps://support.apple.com/zh-cn/HT209193）

D-Link DSL-2770L无线路由器管理员凭证泄露漏洞

CVE编号：CVE-2018-18007

危害级别：中

影响产品：D-Link DSL-2770L ME_1.01版本、ME_1.02版本和AU_1.06版本

漏洞描述：D-Link DSL-2770L ME_1.01版本、ME_1.02版本和AU_1.06版本中的atbox.htm文件存在安全漏洞。攻击者可利用该漏洞泄露admin凭证。

参考链接：hxxps://seclists.org/fulldisclosure/2018/Dec/38

解决方案：厂商尚未提供漏洞修复方案，请关注厂商主页更新。

多款D-Link无线网络摄像头未授权访问漏洞

CVE编号：CVE-2018-18441

危害级别：中

影响产品：D-Link DCS-936L、D-Link DCS-942L、D-Link DCS-8000LH、D-Link DCS-942LB1、D-Link DCS-5222L、D-Link DCS-825L、D-Link DCS-2630L、D-Link DCS-820L、D-Link DCS-855L、D-Link DCS-2121、D-Link DCS-5222LB1和D-Link DCS-5020L

漏洞描述：使用1.00及之后版本固件的多款D-Link无线网络摄像头中存在安全漏洞。远程攻击者可借助/common/info.cgi文件利用该漏洞访问配置文件，获取型号、产品、品牌、版本、硬件版本、设备名称、位置、MAC地址、IP地址、网关IP地址、无线状态、输入/输出设置、扬声器和传感器设置信息等。

参考链接：hxxps://dojo.bullguard.com/dojo-by-bullguard/blog/i-got-my-eyeon-you-security-vulnerabilities-in-baby-monitor/

解决方案：厂商尚未提供漏洞修复方案，请关注厂商主页更新。

详文阅读：

PewDiePie的黑客粉丝瞄准谷歌电视棒驱动的电视

据infosecurity 1月3日报道，两名黑客劫持了数万台打印机，发出支持一位YouTube红人的信息，由此发起了一场针对联网电视的新运动。

截至目前为止，超过72000台设备已经成为CastHack活动的目标，该活动旨在提高人们对谷歌电视棒（Chromecast）驱动的智能电视的认识，这种电视可能会将设备和智能家庭的敏感信息泄露给公共互联网。

白帽黑客HackerGiraffe和j3ws3r能够利用支持UPnP的路由器劫持智能电视，迫使他们播放YouTube视频来支持当红的视频博主PewDiePie。

这两个人在另一份通知中表示，公开曝光的路由器泄露了Wi-Fi网络和设备上的信息，这不仅可以让攻击者远程播放媒体，还可以“重命名设备、恢复出厂设置或重启设备、忘记所有Wi-Fi网络、与新的蓝牙扬声器/ Wi-Fi点配对等等。”

详文阅读：

转载请注明来自网盾网络安全培训，本文标题：《青莲晚报（第三十五期）| 物联网安全多知道》

标签：人工智能物联网安全工业互联网AIOT