国内外简报industry briefing

2019年第20周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. Twitter 公开会将用户位置数据共享出去的漏洞

当地时间周一下午,Twitter披露了一个漏洞,即在某些情况下,一个账户的位置数据会被共享给Twitter的合作伙伴–即使用户没有选择共享这些数据。这家公司表示,该漏洞只影响了Twitter iOS用户群的一部分,另外他们都已经得到了存在这一问题的通知。目前还不清楚这一位置分享是何时发生的,也不清楚持续了多长时间,此外,Twitter也没有指明拥有这些数据的合作伙伴的名字,也没有解释这样一个漏洞是如何产生的,而只是表示,未能删除这些位置数据。(详情链接

2. 关于Microsoft Windows远程桌面服务远程代码执行漏洞(CVE-2019-0708)

5月14日,微软发布的5月份月度更新中修复了一个Microsoft Windows 远程桌面服务远程代码执行漏洞(CVE-2019-0708)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。该漏洞危害程度为高危(High)。目前,厂商针对该漏洞已发布安全补丁。(详情链接

3. 英特尔披露四个微体系架构数据采样 (MDS) 漏洞详情

安全研究人员5月16日,公布了一系列影响英特尔微处理器的潜在安全漏洞,其可能导致用户机器上的信息被泄露。由英特尔安全公告可知,新漏洞使得恶意进程能够从同一 CPU 核心上运行的另一个进程那里读取数据(涉及在 CPU 内核中使用的缓冲区)。因为数据不会在进程切换时被清除,恶意进程可以推测性地从所述缓冲区中采样数据、知晓其中的内容、从同一 CPU 内核上执行的另一个进程中读取数据。(详情链接

4. “三只小猫”漏洞威胁全球数百万思科路由器

美国 Red Ballon 安全研究公司近日发布了一份报告,公布了思科产品的两个漏洞。 第一个漏洞被称为(Thrangrycat),允许攻击者通过现场可编程门阵列(FPGA)比特流操作完全绕过思科的信任锚模块(TAm)。 第二个是针对 Cisco IOS XE 版本 16 的远程命令注入漏洞,该漏洞允许以 root 身份执行远程代码,通过链接和远程命令注入漏洞,攻击者可以远程持续绕过思科的安全启动机制,并锁定 TAm 的所有未来软件更新。目前,思科正在持续发布针对该漏洞的软件更新。(详情链接

5. 苹果表示可能无法为这些Mac电脑提供“ZombieLoad”漏洞补丁

zombieLand漏洞影响了自2011年以来所有英特尔处理器,苹果最新支持文档仅列出了早期易受类似问题影响的Mac型号。它们依然获得苹果技术支持,或者能够运行最新的Mac Mojave操作系统。苹果公司在其新的支持文档中表示:“这些型号可能在MacOS Mojave、High Sierra或Sierra中接收到安全更新,但由于缺少英特尔的微代码更新,因此无法提供修复和缓解安全漏洞的措施。”。(详情链接

6. Stack Overflow遭遇黑客攻击 目前没有证据表明数据被窃

Stack Overflow是面向编程和开发相关话题的互联网最大IT技术问答网站。在其官网上发布的一则简短公告中表示,有黑客访问了公司的内部网络。Stack Overflow工程副总裁Mary Ferguson表示:“上周末,Stack Overflow遭到了网络攻击。” Ferguson表示目前并没有直接证据表明黑客窃取了用户的登陆凭证,但是目前不能百分百排除这种可能。(详情链接

7. 优衣库遭到黑客攻击,超过46万用户数据泄漏

日本最大的服装零售商迅销集团发布消息称,旗下优衣库以及GU品牌的在线商城遭到黑客攻击,约46万用户的数据泄漏,包括用户个人信息、电子邮件、地址以及部分信用卡资料等。迅销称,此事件仅限于日本网站,发生在4月23日至5月10日期间,是一次基于列表的攻击。当客户在多个网站上使用相同的用户名和密码组合时,可能会遭受此类攻击。(详情链接

8. 佛罗里达州州长:俄罗斯黑客在 2016 年入侵了该州的两个选民数据库

佛罗里达州州长Ron DeSantis在当地时间周二表示,俄罗斯黑客在2016年总统选举之前入侵了该州的两个选民数据库。根据DeSantis的说法,黑客能够通过向县雇员发送垃圾邮件来访问数据库。这些链接包含恶意软件,一旦打开,就会允许俄罗斯情报部门格勒乌(GRU)获得选民登记信息。受影响县的名称未正式公布,但DeSantis表示已通知这些县的选举官员和雇员。《纽约时报》上个月月底报道称,在前特别顾问罗伯特·穆勒发布关于俄罗斯干涉2016年选举的报告后不久,这些恶意电子邮件被发送到佛罗里达州的120个选举电子邮件帐户。该报告此前证实,至少有一个县遭受了GRU的黑客攻击活动。根据穆勒的报告,“这些网络参与者至少可以改变或删除选民登记数据。”然而,DeSantis周二表示,黑客并没有操纵任何数据或选举结果。(详情链接

9. Intel八代、九代酷睿爆出MDS漏洞

日前Intel联合欧洲多个大学、研究机构、安全软件公司的研究人员公布了新的MDS微架构数据采样漏洞,这次发现的安全漏洞虽然也是基于侧信道攻击的原理,不过实现方式不同,有四种不同的攻击方式,想要了解具体情况的可以参考Intel官方说明。英特尔已经在八代、九代酷睿及第二代至强可扩展处理器上物理修复了MDS安全漏洞。此外,这次修复对处理器的性能影响也极为有限,特别是个人使用的消费级处理器上,而对数据中心处理器的性能影响也很小,除非是禁用HT超线程。(详情链接

10. SQLite 再被曝 RCE 漏洞

思科 Talos 研究人员发现了一个 SQLite 释放后使用漏洞,从理论上来讲可导致攻击者在受影响设备上远程执行代码。Talos 在描述该漏洞 CVE-2019-5018 时表示,“它是存在于 Squlite3 3.26.0 中 window 函数功能的一个释放后使用漏洞。”SQLite 实现 SQL 的 Windows 函数,而研究员 Cory Duplantis 发现 SQLite 处理函数的方式中包含复用已删除的分区。他指出,“分区删除后,在 exprListAppendList 中复用,从而导致释放后使用漏洞,继而引发拒绝服务。如果攻击者能够在释放后控制该内存,那么就有机会损坏更多的数据,可能造成代码执行后果。”Talos 团队详细说明了该漏洞的情况。修复方案较简单:将项目或产品更新至 SQLite 版本3.28,可从 SQLite 网站下载,并将修复方案推送给终端用户。(详情链接