Google@Windows未修补的0day漏洞曝光；谷歌发布USB键入攻击防御工具 |Windows|微软|苹果公司|

受新冠肺炎疫情影响，苹果股价周一早盘下跌 4.70% ，股价至 218.46 美元，市值跌破 1 万亿美元至 9559 亿美元。目前，微软是唯一一家保留在“万亿俱乐部”的成员。
1、Windows未修补的0day漏洞影响所有版本

本文插图
近日，微软发布一则安全公告，警告Windows存在两个未修复的关键漏洞，可能导致攻击者远程控制目标计算机，影响数十亿Windows用户。
微软表示这两个漏洞都已在有限的针对性攻击中使用，并且影响Windows操作系统的所有受支持版本。
这两个漏洞都位于字体解析软件Windows Adobe Type Manager库中，该漏洞允许远程攻击者在目标系统上执行任意恶意代码，属于严重级别，是微软最高的漏洞级别。
攻击者可利用此漏洞诱使受害者打开特制文档或在Windows“预览”窗格中查看该文档，以此实现攻击。
目前尚不清楚这个漏洞会否被含有特制恶意OTF字体的网页触发，但攻击者可以通过多种其他方式利用这两个漏洞，例如通过Web分布式创作和版本控制(WebDAV)客户端服务。
目前这两个漏洞尚未修复，微软预计在4月14日的补丁星期二推出更新补丁。
好消息是，利用这两个RCE漏洞进行野外定向攻击的数量是“有限的” 。
1）在Windows资源管理器中禁用预览窗格和详细信息窗格
2）禁用WebClient服务目前有以下几种方式减轻该漏洞的影响：
3）重命名或禁用ATMFD.DLL
LYA：在打开任意程序前，请先进行确认。
2、谷歌发布USB键入攻击防御工具

本文插图
（来源：安全牛）近日， Google宣布为Linux系统开发了一种安全工具，可通过识别可疑的击键速度来阻止恶意U盘设备的USB按键注入攻击（以下简称键入攻击）。
键入攻击可以通过运行模拟人类用户输入的代码来运行U盘中的恶意指令。
谷歌安全工程师Sebastian Neuner在谷歌开源博客上介绍，谷歌的工具使用两种启发式变量——KEYSTROKE_WINDOW和ABNORMAL_TYPING ，来区分良性和恶意的USB输入信息。
具体来说， KEYSTROKE_WINDOW会监测两次击键之间的时间（是否过于短促）来告警，但这种方法对于超级键盘手，或者手大同时按下两个按键的用户来说，容易产生误报，不过谷歌表示监测的准确性会随着击键次数的增加而提高。
ABNORMAL_TYPING可以用于定义两次击键之间的“间隔时间”或间隔。
启发式方法之所以起作用，是因为除特殊因素外，程序自动击键输入通常比人类输入要快。
Neuner建议用户使用在线程序检测自己的键入速度，同时在“监控”模式下运行Google工具来重新校准默认参数。不过即便如此，用户还是需要几天甚至几周的时间，才能逐渐降低误报率，直到消除。
有研究人员指出这款防御工具不是USB安全的万灵药，仍需要观察这种启发式防御方法能否通过调整击键参数绕过。但其简单，便宜，可广泛采用的优点也同样不可忽视。
LYA：USB键入攻击一直是一个不可忽视的安全问题，针对此类攻击的防御也正在不断升级。
3、Firefox因疫情影响重启TLS 1.0和1.1

本文插图
本月初， Mozilla发布的Firefox 74停止支持弱加密算法的旧版协议TLS 1.0和1.1 ，以鼓励向更安全的系统过渡。但受疫情影响， Firefox重新开始支持TLS 1.0和1.1 。
TLS 1.0和1.1分别是1996年和2006年发布的旧版协议， 2008年和2017年分别发布了协议的新版本TLS 1.2和1.3 ，相对于旧版本来说更加安全。