国内外简报industry briefing

国内外信息安全简报2017年第四十七周

恒安嘉新

1.     苹果至今为止最大漏洞:无密码以Root权限登录macOS

macOS High Sierra(macOS 10.13 )惊现易被利用的漏洞,可令用户无需口令便获取管理员权限(以root用户登录)。(详情链接

2.     《OWASP TOP 10 2017》最终版

攻击者可以通过应用程序中许多不同的路径方法去危害您的业务或者企业组织。每种路径方法都代表了一种风险,这些风险可能会,也可能不会严重到值得您去关注。有时,这些路径方法很容易被发现并利用,但有的则非常困难。同样,所造成的危害有可能无关紧要,也可能导致破产。(详情链接

3.     安卓漏洞导致攻击者可记录音频或屏幕  

近日,据外媒报道称,由于Android媒体播放功能存在漏洞,致使运行Lolipop,Marshmallow以及Nougat的Android智能手机很容易受到影响,从而导致用户手机屏幕被外人盗录而不自知。(详情链接

4.     互联网半数邮件服务器可被远程代码执行,超40万台服务器受影响

台湾安全公司 DEVCORE 的研究人员 Meh 于近期发现互联网邮件传输代理(MTA)软件 Exim 存在一处关键漏洞(CVE-2017-16943),允许黑客向 SMTP 服务器发送 BDAT 命令,从而触发漏洞后远程执行任意代码。调查显示,有超过 40 万台服务器的分块功能已遭该漏洞影响。(详情链接

5.     美国NCF被泄111G机密数据! AWS又捅娄子!

据UpGuard公司网络风险研究主任克里斯·维克里披露,他于2017年10月3日发现美国国家信用联合会National Credit Federation(简称NCF)有4.7万份文件,共111GB数据暴露在公开访问的亚马逊AWS S3云存储桶上,字段包括数万名客户的姓名、地址、出生日期、驾驶执照、社保号图片、信用报告、历史财务状况、信用卡号和银行账号。大多数文件为PDF和文本文档。文件的上传时间说明,暴露时间可追溯至2015年6月,暴露超过两年之久。(详情链接

6.     谷歌将阻止第三方软件从Chrome注入代码,全球杀毒软件或为此做出重大调整

来自谷歌Chrome运维团队的Chris Hamilton表示,在他们的调查中,有大约三分之二的Windows Chrome用户都安装有至少一款会将代码注入到Chrome浏览器的软件。而此类用户遇到浏览器崩溃的机率会比其他用户高出15%。(详情链接

7.     全球扫码支付 90% 个人用户在中国 生活方便但存在安全隐患

目前,全球 90% 的二维码个人用户在中国。对于不少人来说,出门不带现金,手机扫码走天下已成为日常习惯。随着我国二维码产业进入快速发展期,小小二维码的“ 吸金 ”能力也越来越强,有预测,到 2017 年底,中国二维码支付有望突破 9 千亿元市场规模。与此同时,规范行业标准和提升网民二维码安全意识已成为当务之急。(详情链接

8.     黑客用垃圾流量瘫痪了美国最大的互联网管理公司

周五当地时间上午7点,美国东海岸的用户发现,像Twitter,Spotify,Etsy,Netflix和软件代码管理服务GitHub这样的网站都无法访问。黑客用垃圾流量瘫痪了美国最大的互联网管理公司之一Dyn,有效地关闭了整个地区的服务和网站。(详情链接

9.     谷歌被诉出售逾500万iPhone用户信息 或赔偿27亿英磅

据IBTimes北京时间11月30日报道,在被起诉未经用户同意出售逾500万名iPhone用户信息后,谷歌或被迫赔偿27亿英磅。一起集体诉讼指控谷歌利用算法绕过iPhone默认隐私设置,收集用户的浏览历史数据。这一诉讼的目的,是使约540万名受影响的用户获得赔偿。(详情链接

10.  英国NHS投资2000万英镑成立新安全运营中心,增强网络防御体系

由于今年 5 月中旬 WannaCry 勒索病毒的肆意爆发,导致英国医疗服务组织(NHS)的 IT 系统出现大规模停滞现象。对此,NHS 经慎重考虑后于近期宣布将投入2000万英镑成立一所新安全运营中心,以便帮助各医疗机构免受网络攻击、提高其信息安全领域现有能力(例如:黑客道德行为、漏洞测试和恶意软件分析),以及为当地医疗服务组织提供网络安全咨询和指导。(详情链接