BUF早餐铺 | 谷歌记录用户位置信息;英特尔处理器曝出新漏洞;TLS 1.3作为正式标准发布;工信部组织开展电信和互联网行业网络安全检查 – 作者:AngelaY

各位 Buffer 早上好,今天是 2018 年 8 月 15 日星期三,农历七月初五。今天份的 BUF 早餐内容有:即使关闭“位置历史记录”,谷歌还是会记录用户位置信息;研究人员披露英特尔处理器新漏洞;IETF已完成TLS 1.3传输层安全协议的制定工作; Faxploit 漏洞可能让数百万惠普办公喷墨打印机遭入侵;Oracle 提醒用户修复数据库产品中的严重漏洞;流行安卓 APP 易遭受 Man-in-the-Disk 攻击;工信部组织开展电信和互联网行业网络安全检查。

安全资讯早知道,两分钟听完最新安全快讯~

493062178-612x612.jpg

以下请看详细内容:

即使关闭“位置历史记录”,谷歌还是会记录用户位置信息

谷歌

根据美联社报道,谷歌声称推出了名为“位置历史”的设置,并在支持页面上发表声明,称用户可以随时关闭位置历史记录,如果没有位置历史记录,就不会再存储用户位置信息。但事实上,在用户使用隐私设置、关闭“位置历史记录”的情况下,很多谷歌应用程序依然会自动存储有时间戳的位置数据,而无需询问用户。这可能带来一些隐私风险,影响到约 20 亿安卓用户,以及全球几亿名使用谷歌地图或谷歌搜索的 iPhone 用户。[来源:TheHackerNews]

研究人员披露英特尔处理器新漏洞

1_ZTAW3Zp8VEHjmXb4MpztFg.jpeg

近日,两名德国安全研究员发布了名为《ret2spec: Speculative Execution Using Return Stack Buffers》的论文,披露了英特尔处理器的新漏洞“逆 spectre 攻击”。攻击者可利用这个新漏洞,在未经授权的情况下读取数据。新漏洞是“运行时优化返回地址”的 CPU 预测导致的。如果攻击者能操纵这一预测,就能控制预测执行编程代码,通过旁路读取本应该禁止访问的数据。研究人员称,他们在五月份通知了厂商,90 天的保密期已过,所以他们现在公开了论文。他们认为,ARM 和 AMD 的处理器可能也受到该漏洞的影响。[来源:Solidot]

IETF已完成TLS 1.3传输层安全协议的制定工作

tls-1.3.png

保护浏览器与网站之间的加密连接,其不仅可以更加安全、也能够更加迅速。在长达数年的努力之后,互联网工程任务组(IETF)终于在周五完成了 TLS 1.3 的标准制定工作。作为“安全传输层协议”的最新版本,它可以为依赖其安全性的网站、浏览器、以及互联网的其它部分,提供充足的防护。TLS 1.3 带来的重大改进包括:网站的加载速度会更快,且删除了一些过时的加密技术。[来源:cnBeta]

Faxploit 漏洞可能让数百万惠普办公喷墨打印机遭入侵

HP-OfficeJet-all-in-one-inkjet-printer-2.png

Check Point 的研究人员发现,惠普办公喷墨打印机中出现一个严重的漏洞,可被攻击者利用获取对打印机的控制权限,进而通过打印机进入网络环境。攻击者只需向存在漏洞的打印机发送一条传真就能实现入侵。研究人员表示,数百万支持 G3 传真协议的惠普一体式打印机都会受到这个漏洞影响。他们将利用这个漏洞实施攻击的技术命名为 Faxploit,一旦攻击者成功入侵,就可以利用 EternalBlue 工具套件实施更多攻击。[来源:Securityaffairs]

Oracle 提醒用户修复数据库产品中的严重漏洞

Oracle.jpg

上周,Oracle 披露了其数据库中的漏洞(CVE-2018-3110),CVSS 评分为 9.9,级别很严重。漏洞披露时,Oracle 已经发布了补丁。这个漏洞的具体位置在 Oracle 数据库服务器的 Java VM 组件中。有授权的远程攻击者可以利用这个漏洞,获取对数据库的完整控制权,并设置 shell,进入底层服务器。据报道,在 Windows 上运行的 Oracle 11.2.0.4, 12.2.0.1, 12.1.0.2 版本以及在 Unix 或 Linux 上运行的 Oracle 12.1.0.2 版本都会受到影响。由于漏洞影响较严重,Oracle 督促用户尽快安装补丁。[来源:Securityaffairs]

流行安卓 APP 易遭受 Man-in-the-Disk 攻击

Man-in-the-Disk-Crash-Phone.png

CheckPoint 的研究人员发现安卓应用程序使用存储资源存在缺陷,这导致一些流行安卓 APP 容易遭受 Man-in-the-Disk(MitD)攻击。因为对应用使用外部存储没有限制,攻击者利用这一点可能导致未请求的、潜在恶意的程序安装,拒绝合法程序的服务,甚至导致应用程序崩溃,这就打开了代码注入的大门,然后在特权环境下运行。研究人员发现,谷歌翻译、谷歌语音输入、Yandex 翻译、Yandex 搜索以及小米浏览器等流行安卓应用都容易遭受 MitD 攻击。[来源:Bleepingcomputer]

工信部组织开展电信和互联网行业网络安全检查

工信部印发关于开展2018年电信和互联网行业网络安全检查工作的通知,以强化电信和互联网行业网络安全风险防范和责任落实,提升行业网络安全保障水平。检查对象为依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构建设与运营的网络和系统。

重点是电信和互联网行业网络基础设施、用户信息和网络数据收集、集中存储与处理的系统、企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、公众无线局域网、公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台等。重点检查网络运行单位落实《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规情况,电信和互联网安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等。[来源: 新浪科技]

*AngelaY 编译整理,转载请注明来自 FreeBuf.COM

来源:freebuf.com 2018-08-15 07:00:57 by: AngelaY

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论