關注鈦媒體每日、每月整理發布的行業壞消息榜，一榜略盡當日最具影響的壞消息。

肆虐全球Windows設備的“永恒之藍”勒索病毒攻擊余波未平，一個Linux版的“永恒之藍”又出現了。360官方博客近日緊急發布了Samba遠程代碼執行漏洞警報(CVE-2017-7494)。

Samba是在Linux和Unix系統上實現SMB協議的開源軟件，正廣泛應用在Linux辦事器、NAS網絡存儲產品以及路由器等各種IoT智能硬件上。

與Windows比擬，更容易被攻擊

360方面介紹，與Windows版的“永恒之藍”比擬，Samba漏洞相對比較簡單、更容易被攻擊，并且同樣威力巨大，可以遠程執行任意代碼。其漏洞攻擊工具也已在網上公開，，很可能被非法分子惡意利用。

對普通個人用戶來說，Samba漏洞會對各種常用的智能硬件造成嚴重威脅。例如，全球流行的路由器開源固件OpenWrt就受到Samba漏洞影響，可能導致路由器被黑客控制，劫持或監聽網絡流量，甚至給上網設備植入木馬。此外，包孕智能電視等設備中，Samba文件共享也是常用的辦事。

針對各類智能硬件用戶，建議用戶及時關閉路由器、智能電視等設備的Samba文件共享辦事，等待固件進行安適更新后再開啟Samba。

針對使用Samba的辦事器辦理員，360方面也提出了安適更新建議。

技術分析

如官方所描述，該漏洞只需要通過一個可寫入的Samba用戶權限就可以提權到samba所在辦事器的root權限（samba默認是root用戶執行的）。

從Patch來看的話，is_known_pipename函數的pipename中存在路徑符號會有問題：

再延伸下smb_probe_module函數中就會形成公告里說的加載攻擊者上傳的dll來任意執行代碼了：

今日壞消息榜單 NO.2-NO.7

微信出現“遠程彈窗漏洞” 已被緊急處理

今早，眾多網友反映：微信出現了XSS漏洞，可以在伴侶的手機上遠程彈窗！根據網友的說明，去微信搜索伴侶圈“紅包”，果然手機蹦出來一個彈窗“完蛋了”。很快，各種奇葩的“彈窗游戲”占據了伴侶圈。相關網絡安適從業者稱這是一種類似XSS（跨站腳本攻擊）的玩法。

小米發布會直播卻被華為Logo霸屏 這鍋愛奇藝來背

小米Max2發布會于昨天下午舉行，然而讓人大為不測的是，在發布會的視頻直播中，居然出現了長達近2分鐘的華為Logo，一時間場面非常尷尬，不過官方很快恢復了信號源。一時不少米粉以為小米發布會被華為“黑了”。發布會結束之后，此次發布會的直播辦事商愛奇藝對此進行了回應，稱是設備故障。

ofo小黃車被指押金難退 用戶聯系客服后問題仍未解決

近日，交通部會同多部門起草了《關于鼓勵和規范互聯網租賃自行車發展的指導意見（征求意見稿）》，向社會公開征求意見。意見中交通部對備受關注的共享單車押金一事作出了亮相，未來將加強用戶資金安適監管，鼓勵互聯網租賃自行車運營企業采用免押金方式提供租賃辦事。不過，《指導意見》提出之后，摩拜和ofo小黃車并沒有第一時間對交通部提倡的免押金作出回應。減免押金的事情還未提上日程，卻有多名用戶爆料稱本身在ofo小黃車所繳納的押金無法退回。

崔永元微博會員到期罵新浪 卻鬧了一個天大的笑話

今日上午，反轉基因斗士崔永元在微博上再次開啟“吐槽”模式，稱本身的會員標識表記標幟不見了，懷疑是新浪搞的鬼。崔永元微博原文：“從今天開始，我突然變為新浪微博普通用戶，一些功能也開始欠好使。沒啥，而今網絡環境VIP算個屁？沒啥，你們就是全網封殺，我都覺得沒啥。我最煩暗暗動手腳，干就明著干，那么多職業人，留著孵雞啊。”當然吃瓜群眾看不下去了，稱這是崔永元本身的會員到期了，由于沒有續，所以取消了會員待遇。

網絡安適研究人員發現新漏洞：或成另一個WannaCry

網絡安適研究人員周四稱，在使用廣泛的一種網絡軟件中新被發現的一個漏洞令數以萬計的電腦可能容易遭受類似于WannaCry病毒的攻擊，這種病毒已導致全球范圍內的30多萬臺電腦受到了感染。美國國土安適部周三頒布頒發了這個漏洞，并敦促用戶和辦理員打好補丁以防感染。該漏洞可被黑客利用來接管受感染的電腦。

又見豬隊友：iPhone 8掩護殼泄漏 被人買到了