目 錄

天津11选5预测 www.gstyrc.com.cn ·Windows 10 的快捷方式功能可被利用執行惡意代碼

·新漏洞 RAMpage 曝光:可影響 2012 年以來幾乎所有安卓設備

·WordPress 被曝未修復的漏洞

·美國大數據公司失誤泄露 2TB 隱私信息:涉 2.3 億人

·浙江破獲新型網絡犯罪:嫌疑人控數十萬網吧電腦挖礦

·老人機自帶“李鬼”微信,竟是黑客為廠家定制

·Facebook 承認向 61 家公司提供用戶數據特殊訪問權限

·加州通過數據隱私法案 增強用戶對信息控制權

·Wi-Fi 聯盟宣布新的 WPA3 安全標準

·中小企業將釣魚列為首要攻擊威脅

01

Windows 10 的快捷方式功能可被利用執行惡意代碼

SpecterOps的安全研究員表示,Windows 10 中用于添加快捷方式的文件格式“SettingContent-ms”存在安全問題,可能會被用戶濫用,執行惡意代碼。SettingContent-ms 文件都是 XML 文檔,包含一個標簽,用于指定用戶雙擊快捷方式時打開的 Windows 10 設置頁的磁盤位置。研究人員發現,可以用本地系統中的任何其他可執行文件替換這個 DeepLink 標記。因此,攻擊者可以利用惡意可執行文件,嵌入到 Office 文檔中并繞過 ASR 安全功能,在系統上實現惡意代碼執行。

(來源:bleepingcomputer)

02

新漏洞 RAMpage 曝光:可影響 2012 年以來幾乎所有安卓設備

自2012年以來的幾乎所有Android設備可能被名為RAMpage的新漏洞的影響,該安全漏洞標記號為CVE-2018-9442,是數年前曝光的Rowhammer攻擊的一個變種。RAMpage 是一套影響最新安卓系統的基于DMA的Rowhammer攻擊,包括一個root漏洞利用,以及可繞過全部防御措施的一系列應用利用場景。此前曝光的Rowhammer利用了DRAM物理內存卡硬件弱點,實現比特翻轉攻擊,利用硬件弱點而不是Android漏洞讓一個沒有權限的應用獲得了設備的Root權限,影響大量Android設備,修復這個漏洞非常困難。

(來源:cnBeta)

03

WordPress 被曝未修復的漏洞

RIPS 的安全研究人員曝光了 WordPress 中一個沒有修復的漏洞,對所有版本的 WordPress 都有影響。該研究人員表示,去年 11 月份他們已經向 WordPress 告知了這個漏洞,但 WordPress 開發者一直沒有發布補丁。 這個漏洞主要影響 WordPress CMS 的內核。有權訪問編輯器的用戶可以利用這個漏洞上傳或刪除圖片,進而在網站中插入惡意代碼。不過只有特定級別(如作者或更高級別)的用戶才能利用此漏洞,因此降低了漏洞嚴重程度。目前,用戶可以通過熱更新來修復這個漏洞。

(來源:bleepingcomputer)

04

美國大數據公司失誤泄露 2TB 隱私信息:涉 2.3 億人

6月初曝光的市場和數據匯總公司Exactis服務器信息暴露的事情經調查為實。Exactis采集了大約3.4億條記錄,大小2TB,可能涵蓋2.3億人,幾乎是全美的上網人口。Exactis此次的信息泄露并不是黑客撞庫引起或者其它惡意攻擊,而是他們自己的服務器沒有防火墻加密,直接暴露在公共的數據庫查找范圍內。雖然上述信息中不包含信用卡號、社會保障號碼等敏感的金融信息,但是隱私深度卻超乎想象,包括是否吸煙、宗教信仰、是否養狗或養貓以及各種興趣,如潛水和大碼服裝,這幾乎可以幫助構建一個人的幾乎完整“社會肖像”。目前,Exactis已經對數據進行了加密防護。在其官網,Exactis號稱服務2.18億獨立用戶,總計收集了超過35億條商業、消費者和數字信息。

(來源:快科技)

05

浙江破獲新型網絡犯罪:嫌疑人控數十萬網吧電腦挖礦

利用維護網吧電腦之機,暗中在電腦植入特殊程序“挖崛”網絡貨幣,程序控制方則在背后“抽水”分成牟取利益。全國30多個城市數十萬臺網吧計算機被幕后黑手“挾持”用于“挖礦”,涉案金額高達510萬元左右,被公安部列為掛牌督辦案件。浙江省溫州瑞安市警方經過半年艱苦偵查,轉戰全國多個省市開展專案攻堅,最終成功抓獲犯罪嫌疑人16名,將該特大新型網絡犯罪團伙徹底摧毀。近日,16名涉案人員分別因涉嫌提供非法控制計算機信息系統的程序、工具罪和非法控制計算機信息系統罪被瑞安警方依法移送起訴。

(來源:CnBeta)

06

老人機自帶“李鬼”微信,竟是黑客為廠家定制

有些老人機自帶的微信軟件居然是沒有得到授權的“李鬼”版微信。近日江蘇常州檢方依法批準逮捕了一起“李鬼”微信案件的犯罪嫌疑人。今年初,市民陳女士發現自己手機里的“微信”隔三岔五冒出一些二手車和海外代購的小廣告。微信官方客服表示,他們接到全國不少用戶的類似反饋,經核實,這些廣告并非微信官方推送,也就是說,陳女士手機上的“微信”并非正版,軟件的加密網絡傳輸協議被人破解。

(來源:新華網)

07

Facebook 承認向 61 家公司提供用戶數據特殊訪問權限

Facebook承認,即使在2015年宣布限制對用戶以及用戶好友的訪問后,它仍然允許61家公司訪問用戶數據,它“一次性”給予AOL、耐克、UPS和約會應用Hinge等公司6個月時間,使它們有時間適應公司在用戶數據方面政策的修改。Facebook稱,另外,至少其他5家公司可能訪問了有限的用戶數據,原因是Facebook在一次試驗中授予了它們數據訪問權限。

08

加州通過數據隱私法案 增強用戶對信息控制權

美國加州簽署了一項數據隱私法案,目的是讓用戶對公司收集和管理個人信息的方式有更多控制權。根據立法草案,從2020年開始,掌握超過5萬人信息的公司必須允許用戶查閱自己被收集的數據,要求刪除數據,以及選擇不將數據出售給第三方。公司必須依法為行使這種權利的用戶提供平等的服務。每次違法行為將被處以7500美元的???。這項措施將影響幾乎所有大企業,尤其是在網絡通信和商業中扮演越來越重要角色的大型科技公司。

09

Wi-Fi 聯盟宣布新的 WPA3 安全標準

包括蘋果、思科、英特爾、高通和微軟等科技巨頭在內的 Wi-Fi 聯盟正式推出了新的 Wi-Fi 安全標準 WPA3。這個標準將解決所有已知的、會影響重要標準的安全問題,同時還針對 KRACK 和 DEAUTH 等無線攻擊給出緩解措施。 WPA3 為支持 Wi-Fi 的設備帶來重要改進,旨在增強配置、加強身份驗證和加密等問題。重要改進主要包括:防范暴力攻擊、WAP3 正向保密、加強公共和開放 Wi-Fi 網絡中的用戶隱私、增強對關鍵網絡的?;?。據了解,這項新協議可以在個人,企業和物聯網無線網絡的個人和企業模式下運行。

(來源:SecurityAffairs)

10

中小企業將釣魚列為首要攻擊威脅

近日,一份針對 600 名中小企業管理者的調查顯示,幾乎所有中小企業都對員工展開了安全意識培訓,因為他們擔心針對員工的釣魚攻擊會給企業帶來嚴重威脅。其中,美國、英國和澳大利亞最為重視企業網絡安全,相應地,他們的預估違規成本也在下降。調查顯示,48% 的受訪者認為網絡釣魚攻擊是最重要的威脅,45%的受訪者表示他們的業務易受 DNS 攻擊。總體來說,原本占據第一的新型惡意軟件跌至第六位,落后于分布式拒絕服務(DDoS)和移動攻擊。勒索軟件從2017年的第五位上升到2018年的第三位,不過這也因地理位置而異。

(來源:infosecurity)