国内外简报industry briefing

国内外信息安全简报2018年第六周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.     【安全预警】关于PHP GD Graphics Library 存在拒绝服务漏洞

近期,互联网爆出PHPGD Graphics Library存在拒绝服务漏洞(CVE-2018-5711)。综合利用上述漏洞,攻击者可以构造恶意GIF文件,远程调用PHP函数形成无限循环的方式发起拒绝服务攻击。该漏洞危害程度为高危(High)。(详情链接

2.     黑客入侵公司电子邮箱更改合同收款账户卷走百余万美元

外贸公司用电子邮件与国外客户联系生意、谈业务,无需电话,更不用见面,这种方式看上去很便捷,但也潜藏着一些危险。 这两年,陕西西安就有几家进出口公司被类似的手法骗了。幸运的是,经过警方的努力,被骗赃款全部被追回。(详情链接

3.     "百度外卖"系统遭入侵,账户被篡改4900余万元  

“百度外卖”平台系统被非法侵入,4900余万元被篡改,下单单数覆盖全国多个地区,人数达百余人,直接消费损失30余万元。嫌疑人都是利用系统漏洞,为自己刷出天价账户余额,进而消费使用。(详情链接

4.     疑似俄罗斯黑客报复,荷兰三大银行及税务机构遭DDoS攻击

本周初,大规模的DDoS攻击了针对三个荷兰银行ABN AMRO、ING银行、荷兰合作银行以及荷兰税务管理局。针对ABN AMRO银行系统的攻击从上周末就已经开始,而ING银行和荷兰合作银行在周一也遭受了同样的DDoS攻击。(详情链接

5.     火狐浏览器出现严重远程代码执行漏洞,现已修复

Mozilla发布了Firefox浏览器的重要更新,修补了一个严重的漏洞,这个漏洞能让远程攻击者在受影响计算机上执行恶意代码。这次更新是在Mozilla推出新Firefox Quantum浏览器(Firefox 58)之后的一个星期,它具有一些新功能,如改进的图形引擎和性能优化以及针对30多个漏洞的补丁。(详情链接

6.     运动应用Strava公开十亿用户位置热力图,意外泄漏秘密军事基地等信息

Strava是一款户外运动健身追踪应用,该应用程序使用手机的GPS追踪用户何时何地进行锻炼,并通过分享进行社交。去年十一月,该网站发布了一幅数据可视化图表,图片上显示了来自世界各地的用户的活动,其中包含三万亿个经纬度点上用户们进行的十亿次活动。但一位分析师指出,这个热力图地图可以轻易泄漏军事基地的位置和人员信息。(详情链接

7.     ManageEngine企业级IT运维管理产品曝多个严重漏洞

网络安全公司Digital Defense的研究人员发现 ManageEngine 的企业级 IT 运维管理产品存在多个严重的漏洞,包括未经身份验证的文件上传漏洞、盲目的SQL注入漏洞、远程代码执行漏洞和用户枚举漏洞。ManageEngine已在其官网发布漏洞补丁。(详情链接

8.     当心!你的Android手机被当作情色诱饵遭受恶意攻击

如果你拥有一部Android智能设备,并有意使用它来查看某些色情内容。那么,我们在这里要提醒你三思。根据俄罗斯网络安全公司卡巴斯基实验室的说法,在去年,至少有490万Android用户曾遭受过恶意软件的侵害,其中有25.4%(120万)的受害者表示,他们所遇到的恶意软件都与色情内容有关。(详情链接

9.     澳大利亚最大汽车共享服务公司遭入侵,数万名会员个人信息泄露

GoGet是澳大利亚首家也是规模最大的一家汽车共享服务公司,业务覆盖澳洲五大主要城市,这包括:悉尼、墨尔本、堪培拉、布里斯班和阿德莱德。根据GoGet官方网站记载的信息显示,GoGet汽车共享服务于2003年6月6日以NewtownCarShare的名义推出,并于2005年5月更名为GoGet。目前,拥有注册会员人数超过9万名,旗下汽车数量超过2500辆。(详情链接

10.  甲骨文Micros再现安全漏洞,严重程度高达8.1分!

据外媒报道,甲骨文Micros的POS系统(Point-of-Sale System)中存在高风险的安全漏洞,黑客可以在入侵后下载公司的全部业务数据。这一漏洞由来自ERPScan公司的安全研究员Dmitry Chastuhin发现,它允许攻击者不经身份验证就可对POS系统的数据进行读取和访问。(详情链接