FreeBuf早报 | 百度回应关于考生切勿用搜索引擎搜索填报志愿网页;工信部同意中国互联网络信息中心设立域名根服务器;美国对伊朗发动网络攻击 – 作者:Karunesh91

FreeBuf早报,安全圈值得关注的每日大事件

【全球动态】

1.百度回应关于考生切勿用搜索引擎搜索填报志愿网页

此前山西省招生考试管理中心日前发布提醒,考生在网上填报志愿时,切记不要使用搜索引擎来搜索网上填报志愿系统网页,否则可能误入其他网站。对此,百度今日在微博上发布声明称,从2013年开始,百度就启动了对考试招生院官网的保护,将各地招生院官网在搜索结果进行显著位置展示,并为官网免费提供“官网”标识认证。在声明中,百度还以“山西招生考试网”为例,表明百度已经为“山西招生考试网”免费提供“官网”标识认证,针对省市级别的高考志愿相关检索需求,百度也会在结果页面进行风险提示。此外,百度表示,对历年来虚假野鸡大学诱骗考生、非法招生的情况,百度也在根据国家权威机构公布的信息,持续排查和更新“野鸡大学名录”,方便考生和家长甄别。[ 阅读原文]

2.工信部同意中国互联网络信息中心设立域名根服务器

根据工信部的公告,工信部同意中国互联网络信息中心设立域名根服务器(F、I、K、L根镜像服务器)及域名根服务器运行机构,负责运行、维护和管理编号分别为JX0001F、JX0002F、JX0003I、JX0004K、JX0005L、JX0006L的域名根服务器。工信部要求,中国互联网络信息中心应严格遵守《互联网域名管理办法》《通信网络安全防护管理办法》及相关法律法规、行政规章及行业管理规定,接受我部的管理和监督检查,建立符合我部要求的信息管理系统并与我部指定的管理系统对接,保证域名根服务器安全、可靠运行,为用户提供安全、方便的域名服务,保障服务质量,保护用户个人信息安全,维护国家利益和用户权益。[ 阅读原文]

3.美国对伊朗发动网络攻击

为了回击伊朗对美国的网络攻击和击落无人侦察机,美国对伊朗军方的IT系统发动了攻击。美联社援引知情人士和五角大楼官员的消息报道,总统特朗普直接批准了美国网络战司令部的攻击行动。网络攻击针对的是伊朗军方用于控制火箭和导弹发射器的计算机系统。这些系统由伊朗伊斯兰革命卫队管理,伊斯兰革命卫队去年被美国总统定为是恐怖组织。在击落无人机后,特朗普一度考虑军事打击伊朗的导弹和雷达系统,但之后取消了攻击计划。[阅读原文]

4.Kubernetes命令行存在新的漏洞

Atredis Partners公司的安全研究人员在Kubernetes中发现了一个新的漏洞,如果利用该漏洞,攻击者可以将恶意容器放置到用户工作站上。该漏洞影响Kubernetes的kubectl命令行工具,而这个工具是让用户在容器和用户机器之间复制文件。容器调度器Kubernetes在确立为多云部署之后,就大受开发人员的喜爱,根据JetBrains的报告,约29%的开发人员现在使用Kubernetes。所以漏洞的出现会引起很多人关注。攻击者可以将恶意代码嵌入容器的tar二进制文件中,这可能允让他们在调用kubectl时将文件写入用户计算机上的任何路径,不过,最新的漏洞可以通过将kubectl升级到1.12.9、1.13.6和1.14.2或更高版本来修复。[ 外刊-阅读原文]

5.macOS门禁功能爆出安全漏洞:可安装恶意程序

门禁(Gatekeeper)是macOS系统上的一项安全工具,旨在确保只有受信任的软件才能在 Mac 上运行。这款应用身份认证功能存在安全漏洞,可以用于传播名为“OSX/Linker”的恶意软件安装包。

当安装来自App Store外部的Mac应用、插件和安装器软件时,macOS会检查Developer ID签名和公证状态,以验证软件是不是来自获得认可的开发者并且没有遭到改动。该漏洞主要利用了Mac的automount和Gatekeeper两项功能。Gatekeeper会将从互联网上下载的文件汇集到苹果XProtect防病毒筛选程序进行审核,但是对于从本地存储设备(通过automount安装)授予文件安全通道,不会详细审查。Cavallarin能够欺骗Gatekeeper认为下载的文件来自于本地磁盘,从而绕过正常的筛选协议。随附的OSX / Linker恶意软件会试图劫持Mac,从而让计算机从事任何恶意活动,包括加密货币挖掘和数据窃取。目前攻击样本数据并不大,恶意软件已经被Intego软件和可能的其他防病毒工具筛选识别。因此如果用户选择拒绝来自未知来源的下载,相对容易能够避免OSX/Linker恶意软件。[阅读原文]

6.消息称微信正测试“发送语音过程”转文字功能

有媒体报道称,微信正测试“发送语音过程”转文字功能。目前百度、搜狗等输入法已经可以实现语音识别,在发送语音的过程中,可自动转换为文字。用户在语音输入的时候,手指按住不动向上滑动,会发现在原来“取消发送”的功能之外,新增加了一个“转文字”按钮,拖动到此处,此前录入的语音就会自动转换成文字,然后发送给对方。据悉,该功能已在微信7.0.5版本上进行小范围内部测试,Android、iOS均可以。[阅读原文]

7.谷歌新选项可自动删除位置历史和Web&APP活动

今年I/O开发者大会上,谷歌预告了一个注重隐私保护的全新自动删除选项,在超过用户限定的时间之后自动删除位置历史以及Web& APP活动。而这项功能于今天开始被正式推广给谷歌用户。启用了该选项的用户除了能够手动清除这些信息之外,还能每隔3个月/18个月执行自动删除操作。在启用这项新功能之前,Google允许禁用或手动删除位置历史记录和Web& APP活动,但没有控件用于常规删除,这可能会鼓励更多人使用位置历史记录等功能。位置历史记录跟踪您访问过的位置,而Web& APP活动会跟踪您访问过的网站和您使用过的应用,谷歌会利用这些信息进行内容推荐以及跨设备同步。[ 阅读原文]

【安全事件】

1.美国国家安全局承认第二起未经授权的元数据收集事件

美国国家安全局(NSA)在10月份收集了未经授权的电话和短信数据,这是公众所知的第二起此类事件。据说,国家安全局内部有关此事的备忘录在公开前已被“大量”修改。这些文件没有说明收集了多少记录,但确实表示,这些数据来自一家电信公司,该公司提供了美国NSA没有要求的信息,而且没有得到美国外国情报监督法院的批准。记录开始于10月3日,但直到10月12日才停止,当时国家安全局要求公司调查异常情况。元数据由日期、时间、电话号码和设备标识符等详细信息组成。元数据可以用来拼凑关于一个人生活的许多细节,比如日常习惯以及他们的朋友和家人是谁。[ 阅读原文]

2.新恶意程序专注于破坏物联网设备的固件

一种新的恶意程序正通过破坏物联网设备的固件使其停止工作,类似2017年破坏数百万设备的BrickerBot恶意程序。该恶意程序被称为Silex,它通过抹掉物联网设备的存储、防火墙规则和网络配置让其停止工作,要恢复设备受害者需要手动重新安装固件,对大多数设备拥有者来说太复杂了。研究人员称,恶意程序利用已知的物联网设备登录凭证登录系统,然后调用fdisk -l显示所有硬盘分区,向所有分区写入随机数据。还会删除网络配置,运行rm -rf /删除它错过的数据。并表示,该恶意程序是由化名Light Leafon的14岁少年写的。[ 阅读原文]

3.微信官方揭秘高收益骗局:既骗用户还骗运营者

最近,一些骗子通过公众号,推广高收益理财诈骗的内容。先通过公众号文章和文本形式,引导用户到理财APP、外部网站等渠道进行投资。为了增加可信度,他们甚至会骗过公众号的运营者,让一些有公信力的公众号为他们做推广。这些高收益理财骗局都是投资门槛低、本息保障、收益高,提现到账快等为诱饵引导用户参与投资。最后,投资APP会出现无法登陆、不结算等形式,用户投资最终收益无法取回。微信官方表示,遇到这类收益远远高于银行利率的投资理财项目,需要极度谨慎,不可轻信。[阅读原文]

4.微博用户控诉iPhone起火烧毁起居室,或因充电引起事故

近日,微博用户@屌丝女小金豆在微博控诉苹果手机自燃“把我家烧毁了”,并放出了现场图片佐证,希望苹果尽快给一个说法。当事人表示在早上九点多关机充电,我出去有点事,十二点多,我妈打电话说家里着火了,然后我回来就看到这一幕,消防调查火源,已确定是苹果手机充电引起的。”目前尚未有其他权威信息源证实此事,苹果官方也未回复,事件真实性有待验证。不过此前曾发生过因使用第三方苹果充电器导致的起火或漏电的事故,各位苹果手机用户还是尽量用符合MFI认证的充电设备充电以保证安全。[阅读原文]

5.Dominion National发现9年前的数据泄露事件

知名牙科和视力保险公司Dominion National近日发现了一系列发生在9年前的数据泄露事件.2010年8月25日起该公司数据在持续泄露,泄露内容包括用户姓名、地址、邮箱、出生日期、社保号码、纳税人ID、银行账户等详细信息。此外,一些生产和医疗保健方面的信息也出现在泄露服务器上。Dominion National表示已联系FBI并就此事进行相关调查处理。[外刊-阅读原文]

6.EA公司修复原始游戏平台以防止账户被劫持

近日安全研究人员发现EA的游戏平台中存在漏洞,该漏洞可使黑客通过技术手段接管多达3亿个用户账户,而完成这个攻击却只需要点击游戏平台的合法链接。EA游戏平台的一个子域名被重定向到了微软Azure云计算服务上的一个废弃主机,任何人都可以免费注册,因为该主机已不再使用,所以能够将任何域名注册为自己使用从而实现子域名劫持,攻击者便可通过合法的身份验证访问EA用户账户。[外刊-阅读原文]

【优质文章】 

1.赎金50万美元成交!美国佛罗里达州二度被勒索软件屠城​

前些日子,曾出现了一起关于美国佛罗里达州的里维埃拉海滩市为了取回被勒索软件加密的历史数据,政府支付了60万美元给投放勒索软件的攻击者从而解密了历史数据。现在,还是美国佛罗里达州,一个城市因遭受勒索软件攻击,造就佛罗里达州二度屠城。一个人口65,000的城市湖城的管理部门投票支付了42比特币的赎金需求,价值将近50万美元。目前该城市因为被勒索软件攻击导致停工两周。[阅读原文]

2.央视起底微信号地下交易:可批发零售,被用于洗钱、赌博等

使用微信,就得用手机注册一个微信号。然而有些人却借此做起了买卖微信号的生意,他们手上有一堆五花八门的微信号,为了让微信号卖上更高的价格,甚至还有“养号”一说。微信号不是要手机号才能注册吗?他们从哪儿弄来这些手机卡注册这么多的微信号?[阅读原文]

3.过去的威胁和现在的技术发展会如何影响恶意软件的演变?

如果我们想要预测恶意软件在将来会如何发展,那么我们必须牢记两件事:过去的威胁和当下技术的发展。迈克菲高级工程师Christiaan Beek表示,勒索软件早在90年代就已为人所知,但却在09年比特币出现后迎来了一波爆发。与恶意软件相关的威胁,其演变就像是和新技术开发一同融入正弦运动中。[外刊-阅读原文]

4.安全技术水平与云技术应用的差距正逐渐拉大

赛门铁克近日发布云安全威胁报告称,随着云业务的快速扩张,企业正不断的追随其发展进度。在接受其调查的企业中,已有53%的企业工作转移到了云端,而由54%的企业则表示,安全业务的成熟度无法跟上云应用的快速扩张。虽然说新技术的应用总会带来一些安全方面的差距,但云计算带来的差距比人们想象的要更大。[外刊-阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

来源:freebuf.com 2019-06-27 09:00:27 by: Karunesh91

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论