今天是6月1日儿童节,今天早餐铺的内容有:Windows JScript组件存在远程代码执行漏洞;本田印度在AWS S3服务器上暴露50,000个客户的详细信息;恶意的Git存储库可能导致远程系统上的代码执行;23岁黑客被控受雇于俄间谍侵入电邮 获刑5年;百度回应输入法输入“没钱”会跳出借贷广告:手机厂商定制版才有。
【漏洞攻击】
Windows JScript组件存在远程代码执行漏洞
Windows操作系统的JScript组件中存在漏洞,攻击者可以在用户计算机上执行恶意代码。
发现这个漏洞的是Telspace Systems公司的Dmitri Kaslov,他把漏洞发给了趋势科技的Zero-Day Initiative(ZDI),这个项目专门向大公司提交漏洞项目。
ZDI专家在1月份向微软报告了这个问题,但微软没有发布补丁。 昨天,ZDI发布了一份摘要,其中包含漏洞的技术细节。
本田印度在AWS S3服务器上暴露50,000个客户的详细信息
根据Kromtech Security今天发布的报告,本田汽车印度公司把超过50,000名用户的个人详细信息暴露在了两个公共Amazon S3服务器中。
这两个AWS bucket包含本田汽车印度公司开发的移动应用程序Honda Connect用户的个人详细信息。
本田Connect是远程汽车管理应用程序,用户可以操作他们的本田智能汽车,也可以与本田汽车印度公司提供的服务进行预约和互动。
恶意的Git存储库可能导致远程系统上的代码执行
Git和各种提供Git存储库托管服务的公司都已经推出了补丁修复git中的高危漏洞。
补丁包含在Git 2.17.1中,针对两个安全漏洞:CVE-2018-11233和CVE-2018-11235。
其中,CVE-2018-11235被认为是最危险的,黑客可以创建格式错误的Git存储库。
当用户克隆该存储库时,Git客户端处理此恶意Git子模块的方式可能让攻击者在用户的系统上执行代码。
23岁黑客被控受雇于俄间谍侵入电邮 获刑5年
据美联社报道,在美国旧金山市法庭举行的庭审中,23岁电脑黑客卡里姆·巴拉托夫(Karim Baratov)被控无意中与俄罗斯间谍机构合作,在雅虎大规模数据泄露事件中窃取数据,以获取私人电子邮件。法官文斯·查布里亚(Vince Chhabria)判处他5年监禁,并处以25万美元罚款。
2017年,两名俄罗斯间谍被控策划了2014年的雅虎黑客入侵事件,涉及5亿用户信息被盗。巴拉托夫也被美国起诉,被指控利用俄罗斯联邦安全局传递给他的被盗数据,侵入了数十名记者、商界领袖和其他人的电子邮件账户。检察官说,巴拉托夫是个“国际黑客雇佣兵”,对他的客户很少或根本没有研究。
去年11月份,巴拉托夫承认犯有9项重罪。他承认自己在7年前就开始从事黑客活动,并向客户收取100美元的黑客费,以侵入网络电子邮件中。巴拉托夫出生于哈萨克斯坦,但在加拿大多伦多居住。去年他在加拿大被捕,他通过欺骗用户将自己的凭证输入到伪造的密码重置页面,从而获得他人的网络邮件密码。
[CnBeta]
【国内新闻】
百度回应输入法输入“没钱”会跳出借贷广告:手机厂商定制版才有
针对微博网友质疑百度手机输入法根据用户输入推送相应广告的质疑,百度手机输入法官方做出回应称“您好,感谢您的反馈!我们已查明,该广告是手机厂商在输入法手机定制版上的自定义行为,昨天我们已第一时间沟通该厂商下线广告。
您也可以在各大应用市场下载百度输入法官方版、华为定制版等其他版本的百度输入法,这些版本均无任何广告行为。再次感谢您的支持~”
根据微博网友提供的信息,其在使用百度手机输入法输入“没钱”时,输入法会自动联想推荐“最高可借10万”的广告。据网友提供的信息,其使用的手机为小米。
来源:freebuf.com 2018-06-01 07:29:53 by: Sphinx
请登录后发表评论
注册