BUF早餐铺 | 微软6月修复50个漏洞;谷歌将移除远程网站安装Chrome插件的功能;Mac的代码签名机制出漏洞;AcFun泄露数千万条用户数据 – 作者:AngelaY

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

端午要来了,吃肉粽还是吃白糖粽?

各位  Buffer 早上好,今天是 2018 年 6 月 14 日星期四,农历五月初一。今天份的 BUF 早餐内容主要有:微软 6 月修复 50 个漏洞,其中 11 个为高危;Google 计划移除使用远程网站安装 Chrome 插件的功能;Mac 的代码签名机制出漏洞,可被利用导致风险;Trik 垃圾邮件僵尸网络泄露 4300 万邮箱地址;AcFun泄露数千万条用户数据,部分信息在 GitHub 公布;国家统计局召开网络安全和信息化领导小组会议,研究部署加强统计网信工作。

安全资讯早知道,两分钟听完最新安全快讯~

早餐

以下请看详细内容:

【国际时事】

微软 6 月修复 50 个漏洞,其中 11 个为高危

本周二是微软 6 月的修复日,此次微软总共修复了 50 个漏洞,涵盖 Windows、IE 浏览器、Edge 浏览器、MS Office、微软Exchange Server、ChakraCore 以及 Adobe Flash Player 等产品。这些漏洞中有 11 个为高危,且只有一个漏洞(远程代码执行漏洞 CVE-2018-8267)被公开过,其他漏洞均未被利用。最严重的漏洞包括 CVE-2018-8267、CVE-2018-8225、CVE-2018-8231、CVE-2018-8213 等,都是远程代码执行漏洞,主要影响 Windows 系统。用户可直接打开设置,选择“更新和安全”选项,选择 Windows 更新、检查并安装更新。[来源:ThehackerNews]

Google 计划移除使用远程网站安装 Chrome 插件的功能

Google 今天宣布将逐步取消在远程网站上安装Chrome扩展程序(即“内联安装”)的选项。这意味着到年底,用户只能从各自的Chrome网上应用店列表中安装新的Chrome扩展程序。过去几年,内联安装功能被攻击者滥用,诱导用户安装恶意扩展程序,造成不良影响。由于用户从第三方安装,没有访问过 Chrome 网上应用商店列表,就看不到有关这些扩展程序的负面评论,所以就无法判断这些插件是好是坏。

新计划分三阶段:

从今日起,所有新插件都无法通过“内联安装”获取,且 6 月 12 日以后首次发布的插件如果要调用“chrome.webstore.install() ”函数,会自动重定向到 Chrome Web Store 来安装;

2018 年 9 月 12 日开始,Chrome 扩展程序会完全无法使用“内联安装”功能,用户会直接被重定向到 Chrome Web Store 完成安装;

2018 年 12 月上旬,Chrome 71 会彻底移除“内联安装”API

[来源:bleepingcomputer]

【漏洞攻击】

Mac 的代码签名机制出漏洞,可被利用导致风险

Mac上 的一些安全产品常用的 Apple 的代码签名 API 机制被曝一个长达一年的漏洞,可能被恶意程序利用,更容易绕过安全检查,导致数百万 Apple 用户陷入风险。安全专家发现,针对 Mac 的几款第三方安全产品(包括 Little Snitch、F-Secure xFence、VirusTotal、Google Santa 和 Facebook OSQuery)可能被恶意欺诈,将未签名的恶意代码识别为 Apple 签名,让苹果设备暴露于攻击之中。研究人员称,通过这种方式,攻击者可能获得个人数据、财务细节,甚至敏感信息等。[来源: TheHackerNews]

Trik 垃圾邮件僵尸网络泄露 4300 万邮箱地址

Vertek 公司的一位威胁情报分析师在研究最近发布的 Trok 木马版本时,发现 Trik 垃圾邮件僵尸网络的服务器存在泄露情况。由于幕后攻击中而配置错了服务器,导致任何人都可以直接访问 IP,进而获取存储信息。这台服务器上一共有 2201 个文本文件,按照 1.txt 到 2201.txt 顺序标记,每个文件包含大约 20,000 份电子邮件地址信息,总量超过 4300 万。研究人员认为,该服务器的运营商一直在使用这些收件人列表来为其他攻击者提供服务,以便通过恶意垃圾邮件分发各种恶意软件。 [来源:bleepingcomputer]

【国内新闻】

AcFun泄露数千万条用户数据,部分信息在 GitHub 公布

北京时间 6 月 13 日凌晨,AcFun 发布公告称网站遭遇黑客攻击,近千万条用户数据外泄。呼吁 2017 年 7 月 7 日之后从未登陆过的用户以及密码强度低的用户及时更改密码。如果在其他网站使用与 A 站相同的密码,也应及时修改。AcFun 表示泄露的数据包括用户 ID、昵称以及加密存储的密码。6 月 13 日下午,攻击者在 GitHub 发布了 300 条用户信息及手机号,但不久之后又已经删除。[来源:FreeBuf]

国家统计局召开网络安全和信息化领导小组会议,研究部署加强统计网信工作

近日,国家统计局召开网络安全和信息化领导小组会议,传达学习中央有关文件精神,研究部署统计部门网络安全和信息化工作。会议强调,网络安全和信息化工作在推进新时代现代化统计调查体系建设中具有独特而重要的作用。统计部门要深入学习贯彻习近平网络强国战略思想,在学懂弄通做实上下功夫、见成效;始终坚持党对统计网信工作的集中统一领导,认真落实党中央关于网络安全和信息化的工作要求,积极推进统计网络信息化建设,加快大数据与统计工作深度融合,全面推进统计云建设,以“四经普”为契机进一步增强数据采集处理能力,建立健全互联网平台统计,做好网上零售、跨境电商等统计监测;深入践行网络安全观,健全统计网络安全保障体系,着力增强统计网络安全保障能力,切实维护统计网络信息安全;牢牢把握网络领域意识形态主动权,认真落实统计部门意识形态工作责任制,不断增强统计新闻宣传的传播力、引导力,为统计事业持续健康发展保驾护航。[来源: 国家统计局]

*AngelaY 编译整理,转载请注明来自 FreeBuf.COM

来源:freebuf.com 2018-06-14 07:00:50 by: AngelaY

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论