本周安全资讯16 May 2019思科Thrangrycat漏洞曝光，允许黑客植入持久后门；优衣库等品牌官网遭黑客入侵，约50万用户信息被泄露；WhatsApp漏洞曝光，允许恶意软件感染目标设备······一、信息泄露1.优衣库等品牌官网遭黑客入侵，约50万用户信息被泄露据报道，亚洲最大零售商迅销发布声明称，旗下品牌优衣库、GU销售网站遭黑客入侵，逾46万账户被访问，约50万用户隐私信息可能发生泄露，泄露信息包括用户个人信息、购买历史记录和部分信用卡信息等，中国网站及信息平台不受影响。

截至目前，该泄漏事件仍在调查中，迅销已注销受影响用户登录密码并向所有客户致歉。

来源：http://u6.gg/s7xPz图片来源于pixabay二、网络攻击1.多家公司CDN服务遭黑客破坏，4600多网站财务信息被泄露据外媒报道，分析服务Picreel和开源项目Alpaca Forms的内容交付网络（CDN）服务遭黑客破坏，位于基础设施上的JavaScript文件均被修改。

据悉，黑客已在超过4600个网站上嵌入恶意代码，这些代码能够记录用户在表单字段中输入的所有内容，包括结账、付款页面、联系表单和登录页面数据等。

截至目前，尚不清楚黑客破坏CDN的手段，Alpaca Forms开发商已取消受影响CDN服务并展开调查。

来源：http://u6.gg/s7jb5三、漏洞曝光1.英特尔处理器再曝ZombieLoad漏洞，黑客可直接窃取敏感信息据外媒报道，研究人员再次披露英特尔处理器新漏洞ZombieLoad，允许黑客直接从处理器窃取敏感信息，2011年后发布的大多数英特尔处理器，如Core、Xeon等均受影响，AMD不受影响。

据悉，该漏洞与Meltdown、Spectre相似，都源于芯片设计缺陷，是针对英特尔芯片的侧信道攻击漏洞。

该漏洞由四个漏洞组成，通过CPU负荷返回值的旁路逻辑，可实现跨线程、权限边界和超线程的数据泄露。

截至目前，英特尔已发布微码更新（MCU）修复该漏洞，修复后的设备最高可能受到3%的性能影响。

来源：http://u6.gg/s7K2E图片来源于pexels2.思科Thrangrycat漏洞曝光，允许黑客植入持久后门据外媒报道，研究人员发现思科产品存在严重漏洞Trangrycat，允许黑客通过现场可编程门阵列（FPGA）比特流操作绕过思科信任锚模块（TAm），在企业和相关机构网络设备上植入持久后门。

此外研究人员还发现了一个针对Cisco IOS XE版本16的远程命令注入漏洞，允许黑客以root权限远程执行代码。

通过链接这两个漏洞，黑客还可持续远程绕过思科安全启动机制，锁定TAm未来所有软件更新。

来源：http://u6.gg/s7ByR3.WhatsApp漏洞曝光，允许恶意软件感染目标设备据外媒报道，研究人员发现WhatsApp存在缓冲溢出漏洞CVE-2019-3568，可被利用向目标设备注入NSO Group开发的恶意软件，记者、律师等敏感职业从业者易受攻击。

据悉，该漏洞位于应用VOIP堆栈中，在iPhone或安卓设备上可通过WhatsApp呼叫功能触发，允许黑客向目标设备发送特制SRTCP包远程执行恶意代码。

截至目前，该漏洞已被修复。

来源：http://u6.gg/s79HG图片来源于pexels4.SQLite RCE漏洞曝光，允许黑客执行远程代码近日，思科Talos研究人员发现，SQLite存在安全漏洞CVE-2019-5018，允许黑客执行远程代码。

该漏洞是Window函数功能释放后使用漏洞，位于Squlite3 3.26.0和3.27.0窗口功能中，源于SQLite复用已删除分区的函数处理方式，需结合SQL注入漏洞方能造成严重危害。

专家建议用户尽快将SQLite更新至版本3.28以保护设备。

来源：http://u6.gg/s7CXc5.Twitter披露安全漏洞，部分iOS用户位置数据遭泄露据外媒报道，Twitter近日披露了一个针对iOS用户的安全漏洞，可在未经用户允许的情况下将账户位置数据共享给Twitter第三方合作伙伴。

据悉，当用户在iOS上拥有多个Twitter账号，并选择在一个账号中使用精确位置功能时，可能导致同一移动设备上其他账号的模糊位置数据被收集。

截至目前，Twitter已通知所有受影响用户，其合作伙伴也已删除相关数据。

来源：http://u6.gg/s79yB图片来源于pexels6.Linux内核漏洞曝光，5.0.8之前版本均受影响据报道，研究人员发现Linux内核存在竞争条件漏洞，允许黑客远程执行恶意代码。

据悉，该漏洞位于net/rds /tcp.c的rds_tcp_kill_sock TCP/IP中，被追踪为CVE-2019-11815，通过发送特制TCP数据包，黑客可触发该漏洞执行拒绝服务（DoS）攻击。

截至目前，该漏洞已被修复，专家建议用户将系统更新到版本5.0.8以免受到攻击。

来源：http://u6.gg/s7gAJ