微软发现严重安全漏洞，影响数十亿下载量 Android 应用

微软发现严重安全漏洞，影响数十亿下载量Android应用https://www.ithome.com/0/765/873.htm“DirtyStream”漏洞的核心在于恶意应用可以操纵和滥用Android的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据，并包含严格的数据隔离、特定URI附加权限以及文件路径验证等安全措施，以防止未经授权的访问。然而，如果内容提供程序系统没有被正确实现，就会产生漏洞。微软研究人员发现，不当使用“自定义意图”（customintents，Android应用组件之间的通信系统）可能会暴露应用的敏感区域。例如，易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。攻击者利用“DirtyStream”漏洞后，可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用，未经授权访问敏感用户数据，或拦截私密登录信息。微软的研究表明，此漏洞并非个例，研究人员发现许多流行的Android应用都存在内容提供程序系统实现不当的问题。例如，拥有超过10亿安装量的小米文件管理器和拥有约5亿安装量的WPSOffice都存在此漏洞。

微软发现严重安全漏洞：受影响Android应用安装量超40亿次

微软发现严重安全漏洞：受影响Android应用安装量超40亿次目前上述两个厂商已经及时确认其软件中存在的问题。微软研究员强调了面临风险的设备数量惊人：“我们在GooglePlay商店中发现了几个易受攻击的应用程序，这些应用的总安装量超过了40亿。”根据介绍，“DirtyStream”漏洞的核心在于恶意应用可以操纵和滥用Android的内容提供程序系统，该系统通常用于设备上不同应用程序之间的安全数据交换。同时该系统还包含严格的数据隔离、特定URI（统一资源标识符）附加权限以及文件路径验证等安全措施，以防止未经授权的访问。然而微软研究人员发现，不正确地使用“自定义意图”（允许Android应用组件进行通信的消息传递系统）可能会暴露应用的敏感区域。例如易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。了解更多：https://www.microsoft.com/en-us/security/blog/2024/05/01/dirty-stream-attack-discovering-and-mitigating-a-common-vulnerability-pattern-in-android-apps/...PC版：https://www.cnbeta.com.tw/articles/soft/1429697.htm手机版：https://m.cnbeta.com.tw/view/1429697.htm

微软透露其针对低档Android手机的Outlook Lite应用下载量已超过500万次

微软透露其针对低档Android手机的OutlookLite应用下载量已超过500万次今天，微软在一篇博客文章中宣布，OutlookLite应用程序的下载量现已超过500万次。博文还披露了自OutlookLike应用程序推出以来微软对它进行的一些更新：在过去的一年里，我们一直在忙于更新OutlookLite，增加了一些你们要求的功能，如暗色模式、多账户支持和Google账户集成。这些只是其中的几个亮点；我们还做了很多其他改进，使该应用的性能和体验大为改观。博文还提到，OutlookLite开发团队听取了应用程序用户的反馈意见，并补充说："因此，请继续分享；您的意见对我们的发展和改进非常宝贵。"以下是该应用程序主要功能的简要介绍：小--精简版应用程序下载量小，占用手机存储空间极低快速-经过优化，可在所有设备上快速运行，包括内存为1GB的设备低电池使用率-在手机上运行轻便，节省电池消耗所有网络-即使在2G和3G网络中也能正常运行虽然OutlookLite应用程序最初是在全球某些地区推出的，但现在已可通过GooglePlay商店在全球使用。请注意，虽然该应用在所有市场都有提供，但并不支持所有Android设备。此外，并非所有市场都提供该应用的所有功能。例如，该应用支持的SMS短信目前仅在印度提供。...PC版：https://www.cnbeta.com.tw/articles/soft/1402283.htm手机版：https://m.cnbeta.com.tw/view/1402283.htm

影响 300 万款苹果 iOS / macOS 应用，CocoaPods 平台漏洞披露：可注入恶意代码

影响300万款苹果iOS/macOS应用，CocoaPods平台漏洞披露：可注入恶意代码E.V.A信息安全研究人员ReefSpektor和EranVaknin今天发布博文，表示在CocoaPods依赖关系管理器中发现了3个安全漏洞，恶意攻击者可以在主流iOS和macOS应用中插入恶意代码。初步估计大约有300万个iOS和macOS应用程序会此影响。CocoaPods是一个开源Swift和Objective-C项目的存储库，很多开发者使用CocoaPods添加和管理外部库（pods）。该平台有超过10万个pods，超过300万款应用使用，包括Instagram、X、Slack、AirBnB、Tinder和Uber等应用都使用该平台。关注频道@ZaiHuaPd频道爆料@ZaiHuabot

微软在 TikTok for Android 中发现一个“高严重性漏洞”，攻击者能接管点击恶意链接的账户

微软在TikTokforAndroid中发现一个“高严重性漏洞”，攻击者能接管点击恶意链接的账户安卓版TikTok应用的一个漏洞可能让攻击者接管任何点击恶意链接的账户，可能影响该平台的数亿用户。今天，微软365防御研究小组的研究人员在一篇中披露了一键式攻击的细节。微软向TikTok披露了这一漏洞，此后已打上补丁。该漏洞及其导致的攻击被称为"高严重性漏洞"，一旦任何TikTok用户点击一个特制的链接，就可以在他们不知情的情况下劫持他们的账户。点击该链接后，攻击者可以访问账户的所有主要功能，包括上传和发布视频的能力，向其他用户发送消息，以及查看存储在账户中的私人视频。潜在的影响是巨大的，因为它影响了安卓TikTok应用的所有全球变体，该应用在谷歌应用商店的总下载量超过了15亿次。然而，没有证据表明它被坏人利用了，TikTok发言人莫琳-沙纳汉说："参与发现和披露的研究人员赞扬了TikTok的快速反应。"——

Apache OpenOffice下载量超过3.33亿次

ApacheOpenOffice下载量超过3.33亿次虽然ApacheOpenOffice开源办公套件的发展相当停滞不前，许多原来的OpenOffice.org的开发者很早就离开了，他们大多去了LibreOffice，而且LibreOffice一直在提供更现代的特性和功能，有趣的是，人们仍然在继续下载和使用OpenOffice。本周，Apache软件基金会庆祝OpenOffice办公套件的下载量超过了3.33亿。早在2011年，OpenOffice的代码就被捐赠给了Apache软件基金会，不幸的是，在过去的十年里，OpenOffice并没有繁荣起来。ApacheOpenOffice在随后的很长一段时间里几乎没有看到新的功能被开发出来，不仅如此，大多时候还在努力维护和修补安全漏洞。不过，OpenOffice这个品牌仍然有它的影响力，用户通常在搜索开源办公软件或微软Office等的免费替代品时会发现它。Apache软件基金会在周二宣布，自从他们在2011年接管这个开源办公套件以来，现在已经有超过3.33亿次的阿帕奇OpenOffice下载。这个数字还没有考虑到SourceForge的镜像下载，所以实际数字会更高。有趣的是，Apache.org博客上公布的数字显示，作为一款跨平台套件，Windows用户的下载量为2.97亿，macOS用户的下载量为3100万，而Linux用户的下载量仅为470万......只能说，Linux用户受过更好的“教育”，他们选择直接使用现代以及维护更勤的LibreOffice。PC版：https://www.cnbeta.com/articles/soft/1310873.htm手机版：https://m.cnbeta.com/view/1310873.htm