Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影響。

作者/來源： 安華金和

Vim 和 NeoVim 曝出了 一個允許任意代碼執行的高危漏洞。漏洞編號 CVE-2019-12735 ，Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影響。

漏洞位於編輯器的 modelines 功能中，該功能允許用戶指定窗口大小和其它定製選項，modelines 限制了沙盒內可用的指令，但安全研究員 Armin Razmjou 發現 source! 指令會繞過這一保護。因此如果用戶打開一個惡意文本文件，攻擊者可以控制計算機。漏洞利用需要編輯器啟用 modelines，部分 Linux 發行版默認啟用了該功能，而蘋果的 macOS 沒有默認啟用。

來源：solidot.org

（題圖： pinimg ）

更多資訊

谷歌新功能上線：Android 手機可作為 iOS 應用的安全密鑰幾個月前，谷歌正式推出了使用 Android 智能機作為物理安全密鑰的特性，以便用戶在 Chrome 瀏覽器上登錄桌面網站和服務。該功能通過藍牙連接工作，因此只能在兩款設備相鄰時才能起效。不過現在，谷歌上線了新的功能，允許藉助 Android 智能機來登陸 iPhone 和 iPad 上的應用與服務，為 iOS 平台帶來額外的安全保障。

來源： cnBeta.COM

詳情： http://www.dbsec.cn/zx/20190614-2.html

Google 研究員披露 Windows 10 0day 漏洞安全研究員 Tavis Ormandy? 是谷歌 「Project Zero」 團隊的一員，負責尋找 0day 漏洞。他公開了一個可利用的 Windows 漏洞，目前，微軟仍處於修復過程中。Tavis Ormandy 發推文說他已經發現了 Windows 核心加密庫的安全問題，「微軟承諾在 90 天內修復它，結果沒有」。於是在第 91 天，Ormandy 選擇了公開這個漏洞。

來源： solidot.org

詳情： http://www.dbsec.cn/zx/20190614-3.html

梅德韋傑夫推特又遭黑客攻擊 祝賀留言變神秘文字6月13日電 被譽為「科技發燒友」的俄羅斯總理梅德韋傑夫，6 月 12 日用其推特賬號給伊拉克駐俄大使「留言」一組神秘文字：very very hubby cheers。後被證實俄總理賬號遭到黑客攻擊，兩條貼文也被迅速刪除。

來源： 海外網

詳情： http://www.dbsec.cn/zx/20190614-4.html

西甲官方應用因非法監聽用戶被罰 25 萬歐元西班牙足球甲級聯賽官方 Android 應用因非法監聽用戶被罰 25 萬歐元。去年西甲承認它的 Android 應用訪問手機的麥克風和 GPS，但它辯護稱此舉旨在通過匹配音頻數據和手機位置，跟蹤播放比賽的非法場所。

來源： solidot.org

詳情： http://www.dbsec.cn/zx/20190614-5.html

（信息來源於網路，安華金和搜集整理）

點擊「了解更多」可訪問文內鏈接

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！