Skype 移动应用存在漏洞，黑客可以轻易获取你的IP地址。但微软并没有着急修复这个问题。

Skype 移动应用存在漏洞，黑客可以轻易获取你的IP地址。但微软并没有着急修复这个问题。 一位安全研究人员发现，Skype 移动应用存在漏洞，只需要发送一个链接，就可以在目标不点击链接的情况下，揭示用户的IP地址，从而暴露目标其大致的物理位置。 安全研究人员Yossi于本月早些时候向微软报告了这个漏洞，但微软表示这个问题不需要立即修复。直到404 Media联系微软，微软公司才表示将在即将发布的更新中修复此问题。 Yossi 表示，这个问题仅适用于 Skype 的移动应用程序。当目标使用 Mac 版 Skype 时，他无法获知目标的IP地址。 （ 珊瑚虫QQ？ ）

【密码学家发现MetaMask存在可致用户IP地址泄露的漏洞】

【密码学家发现MetaMask存在可致用户IP地址泄露的漏洞】 OMNIA协议的联合创始人、安全分析师和密码学家Alexandru Lupascu称MetaMask钱包存在漏洞风险，恶意攻击者可以简单地创建一个NFT，并通过转移该NFT的免费所有权来获取用户的IP地址，黑客只需花费50美元就能攻击他人的隐私。 Lupascu表示，他在2021年12月14日发现了这个安全漏洞，并向MetaMask团队提出了解决方案，但他们忽视了这个问题，并表示将在2022年第二季度之前解决。 在这项研究向公众展示之后，MetaMask的创始人Daniel Finlay承认了这一事件：“我认为这个问题已经被大众广泛知晓很久了，所以我认为披露期并不适用。”Finlay补充说：“Lupascu说我们没有尽早解决这个问题，他说得没错。我们现在就开始着手解决这一问题。谢谢你的提醒。”

微软发现严重安全漏洞，影响数十亿下载量 Android 应用

微软发现严重安全漏洞，影响数十亿下载量 Android 应用 “Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据，并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施，以防止未经授权的访问。 然而，如果内容提供程序系统没有被正确实现，就会产生漏洞。微软研究人员发现，不当使用“自定义意图”（custom intents，Android 应用组件之间的通信系统）可能会暴露应用的敏感区域。例如，易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。 攻击者利用“Dirty Stream”漏洞后，可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用，未经授权访问敏感用户数据，或拦截私密登录信息。 微软的研究表明，此漏洞并非个例，研究人员发现许多流行的 Android 应用都存在内容提供程序系统实现不当的问题。例如，拥有超过 10 亿安装量的小米文件管理器和拥有约 5 亿安装量的 WPS Office 都存在此漏洞。