今天的安全早报包括：Bug猎手发现Steam严重漏洞，V社对其进行2万美元奖励；安装了iOS 12.1的iPhone XS Max已证实被越狱；北美数十万人遭比特币“网络钓鱼”邮件威胁；50个国家签署文件承诺将打击网络犯罪行为；10 万家用路由器僵尸网络发送垃圾邮件。

Bug猎手发现Steam严重漏洞，V社对其进行2万美元奖励

Artem Moskowsky是一位自称“bug猎手”的专家能手，几个月前他发现了一个严重的Steam漏洞，黑客们可以利用这个漏洞生成Steam上任何一款游戏的激活密钥，随便就能入手上千个免费的Steam key。Moskowsky将这个bug报告给了V社，他本人也得到了V社2万美元的酬劳。

这件事情发生在今年的八月份，不过V社直到最近才允许Moskowsky将此事公之于众。根据V社在bug悬赏网站HakerOne上的描述，Moskowsky所发现的bug利用了Steam开发者工具上的漏洞，只要使用“特定参数”，任何有权访问这些工具的人都能使用让该服务吐出密钥。[来源：新浪游戏]

安装了iOS 12.1的iPhone XS Max已证实被越狱

最近发布的iOS 12.1已经被越狱，而且包含最新得iPhone XS Max机型在内也已经金身告破。腾讯KeenLab研究员Liang Chen在Twitter上发图证实，他已经成功在iOS 12.1上越狱了iPhone XS Max，不过如果您希望将其应用到您自己的iPhone XS Max上，那么基本上没有机会发生这种情况。研究人员表示将在2018年的POC上展示越狱，但目前还没有更多细节出来。[来源：cnBeta]

北美数十万人遭比特币“网络钓鱼”邮件威胁

据thestar消息，在过去的几个月里，北美数十万人收到类似以下以比特币作为勒索条件的“网络钓鱼”邮件的威胁:要么用比特币支付价值857美元的赎金，要么通过你的手机、平板电脑和电脑的浏览历史记录中获取的有关你“黑暗秘密生活”的视频和截图将被发送给你的家人、朋友或者全世界。[来源：Bianews]

50个国家签署文件承诺将打击网络犯罪行为

来自世界各地50个国家和超150多家科技公司签署了一项名为《Paris call for trust and security in cyberspace》的承诺以表它们致力于打击网络犯罪行为的决心。获悉，法国总统马克龙在众领导人参加一战结束100周年纪念活动前一日公布了这份文件。

签署该文件的国家有日本、加拿大和所有欧盟国家，谷歌、微软、Facebook等国际科技巨头公司也表示将致力于打击网络犯罪。虽然美国大量政府机构和官员近些年来表示国家经历了多起网络犯罪案件包括2016年总统大选干预等，但它并没有在这份文件上签字。另外，中国和俄罗斯也没有在这份文件上签字。[来源：cnBeta]

10 万家用路由器僵尸网络发送垃圾邮件

360 旗下的安全实验室报告了一个控制了大约 10 万家用和小型办公室路由器的僵尸网络，该僵尸网络被命名为 BCMUPnP_Hunter，利用了博通芯片组中 Universal Plug and Play 协议实现的漏洞，该漏洞早在 2013 年就已经曝光，受影响的路由器型号来自 Broadcom、Asus、Cisco、TP-Link、Zyxel、D-Link、Netgear 等。安全研究人员通过扫描发现僵尸网络感染了 116 种路由器型号，访问 Outlook、Hotmail、Yahoo! Mail 等、邮件服务器，因此怀疑攻击者的意图主要是和发送垃圾邮件有关。[来源：Solidot]

转载至freebuf网站：freebuf