国内外简报industry briefing

国内外信息安全简报2018年第四十五周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.美国运通近70万条印度客户明文数据泄露

由于一个不安全的MongoDB服务器,有近70万的美国运通(Amex India)印度客户的个人信息在网上被曝光。网络安全公司Hacken的鲍勃·迪亚琴科(Bob Diachenko)在网络上发现了大量泄露数据,其中大多数记录都是被加密的,但有689,272条记录是明文存储的。这些记录似乎来自美国运通印度分公司。(详情链接

2.安全专家发现Edge零日漏洞:可远程执行代码

安全研究专家Yushi Liang表示正计划公开Edge浏览器的零日漏洞。该漏洞能够执行远程代码,并能从Edge的沙盒中逃脱。Liang在一则推文中演示了利用该漏洞从网页端打开桌面的计算器应用,推文中写道:“我们刚刚攻破Edge,和kochkov合作找到了这个稳定漏洞,支持自身SBX即将到来。” 外媒Bleeping Computer报道称该漏洞还有进一步挖掘利用的空间,研究人员仍在寻找如何利用这个漏洞来获得SYSTEM级别的访问权限,以便于完全控制你的PC。这个漏洞是使用SensePost的 Wadi Fuzzer工具发现,可以使用Edge浏览器打开Firefox浏览器来下载Google Chrome。(详情链接

3.央视:个人信息保护已经列入立法规划

据央视新闻报道,从近期举行的世界互联网大会“大数据时代的个人信息保护”分论坛上了解到,目前我国个人信息保护法已经列入立法规划,我国将进一步加大对个人信息保护。最高人民检察院检察技术信息研究中心主任赵志刚称,最重要的问题是立法问题,因为大数据时代,我们个人信息泄露情况极为复杂,因此要加快推进立法工作,能够制定精细严密一部法律,推进我们的个人信息的保护。(详情链接

4.Google Chrome 71 将有专用页面警示网站扣费陷阱

在向广告滥用行为说不之后,谷歌决定进一步加强 Chrome 71 的反扣费欺诈功能。在即将推出的 12 月更新中,该浏览器将在用户访问嫌疑网站时放出警告。若某个已知网站使用了阴暗或误导性的结算行为,比如诱骗用户输入手机号码来实施游戏扣费,将会收到 Chrome 给出的红牌警告。(详情链接

5. Nginx开源web服务器软件本周发布更新,修复多个拒绝服务(DoS)漏洞

Nginx除提供web服务器的功能外,还可用作负载均衡器及反向代理。作为使用范围最广的web服务器之一,Nginx约为4亿个网站提供支持。nginx所在的NGINX公司已筹资1亿美元,其中包括2018年6月所筹的4300万美元。Nginx开发者本周宣布,其1.15.6及1.14.1版本已修复HTTP/2协议实现中的漏洞,这些漏洞可导致拒绝服务状态,版本1.9.5至1.15.5皆受其影响。(详情链接

6.攻击者可利用印象笔记中的XSS漏洞执行命令并窃取文件

安全专家在印象笔记(Evernote)应用程序Windows 客户端发现一个存储型XSS漏洞,该漏洞可被用于窃取文件、执行任意命令。安全专家注意到,用户在笔记中添加照片后,可以使用JavaScript代码对文件重命名,而不是普通名称。该专家发现,当该笔记被分享至另一个印象笔记用户时,接收者点击图片便可执行该代码。印象笔记于九月发布版本6.16.,对该存储型XSS漏洞进行了修复,但并未完全修复该漏洞。(详情链接

7.美国网络司令部在VirusTotal上共享恶意软件样本

美国网络司令部(US CYBERCOM)开始通过Chronicle的VirusTotal情报服务与网络安全行业分享恶意软件样本。该项目由美国网络司令部国家网络任务部队(CNMF)运营,该部队将在VirusTotal的“CYBERCOM_Malware_Alert”账户上上传非保密的恶意软件样本。 美国网络司令部称,“认识到与公共部门合作的重要性,国家网络任务部队已开始致力于分享其发现的未分类的恶意软件样本,部队认为这些样本将在很大程度上提升全球网络安全性。” 国家网络任务部队表示,“(我们与全球网络安全社区分享恶意软件样本的)目的,是为了防止恶意网络行为者给大家造成损害。”(详情链接

8.英特尔超线程CPU PortSmash漏洞曝光,可获取加密数据

英特尔超线程CPU PortSmash漏洞曝光,可允许攻击者从同一CPU内核中获取其他进程中的加密数据,包括密码、加密密钥等。该漏洞由芬兰坦佩雷理工大学和古巴哈瓦那大学的研究人员发现,被追踪为CVE-2018-5407,已加入去年列出的边通道漏洞列表,一起加入该列表的包括Meltdown、Spectre、TLBleed和Foreshadow漏洞等。由于同步多线程(SMT)可将处理器的每个物理内核分成虚拟内核(线程)来工作,且允许在同一物理内核中并行运行两个线程来提高性能,因此,攻击者可在同一CPU内核中与特定进程同时运行恶意进程,允许PortSmash代码测量每个操作所花费的精确时间来确认特定进程执行的操作。(详情链接

9.脸书账户被黑,8.1万用户私人信息待售

据报道,黑客组织列出8.1万脸书用户个人信息待售,脸书再陷争议。 “脸书”与“黑客攻击”正逐渐变为同义词。约1.2亿脸书账户被黑,8.1万脸书用户个人信息在灰色市场待售,社交媒体巨头脸书陷身另一舆论中心。黑客已非法访问约1.2亿脸书用户的账户及其私人信息。据报道,脸书数据外泄用户主要来自乌克兰和俄罗斯,但也有大量来自英国、美国、巴西及其他地方的用户数据外泄。(详情链接

10.工信部将百度、三大运营商纳入电信业务经营不良名单

今年以来,工业和信息化部信息通信管理局依据《电信条例》《电信业务经营许可管理办法》等法律法规,协同广东、浙江、四川等通信管理局对扰乱市场秩序、违法违规经营电信业务的76家企业给予警告、罚款等行政处罚,并将其依法纳入电信业务经营不良名单。公布信息显示,此次纳入电信业务经营不良名单的有北京嘉德诚科技有限公司、北京百度网讯科技有限公司、中国移动通信集团河北有限公司唐山分公司、中国电信集团有限公司内蒙古分公司、中国联合网络通信集团有限公司江西省分公司等企业。名单上三大运营商和百度等旗下公司在列。(详情链接