今天的早餐铺包括:黑莓手机网站感染了Coinhive加密货币挖矿脚本;在Google Play上发现36个伪装成安全工具的恶意软件;Windows 7 装 CPU漏洞补丁后出现蓝屏 安全模式也进不了;苹果针对 Spectre CPU 发布安全更新;泄露数百万儿童数据,玩具制造商伟易达被FTC处以65万美元罚款。
【国际时事】
黑莓手机网站感染了Coinhive加密货币挖矿脚本
近日有用户报告表示,黑莓手机网站感染了Coinhive加密货币挖矿脚本,脚本访客的CPU处理能力挖掘虚拟货币门罗币。一位Reddit用户在网站上发现了代码并公开 – 他们注意到只有TCL通信技术控股公司所拥有的www.blackberrymobile.com网站受到影响。
特定国家和黑莓有限公司直接管理的网站并不会受到感染。
TCL 没有公开评论这种情况,但从Reddit上得到的说法,这个网站似乎是被黑客偷偷感染的 – 近期挖矿脚本泛滥,各大网站都容易成为网络犯罪分子的目标。
在Showtime和LiveHelpNow小部件以及各种高级网站上也有可能被植入恶意挖矿脚本,而最近发现的一项活动则显示黑客们正在将挖矿脚本插入数字广告之中。赛门铁克表示,仅使用加密货币挖掘代码的移动应用程序数量在2017年就增长了34%。
[来源:info-mag]
【Web安全】
趋势科技:在Google Play上发现36个伪装成安全工具的恶意软件
趋势科技的研究人员在GooglePlay上发现了36个恶意应用程序,而这些应用程序伪装成了大公司的安全工具。本月,Google再次进行了应用程序的安全检查,而趋势科技的研究人员在Google Play上发现了36个装成安全工具的恶意应用程序,诸如安全卫士,安全守卫,智能安全,高级升级应用等。
在应用介绍上,开发者还宣传了各种功能:扫描,清理垃圾,节省电量,冷却CPU,锁定应用程序,以及消息安全,WiFi安全等等。而实际上,这些应用程序的目标是为了窃取用户信息,跟踪用户的位置,积极推送广告。
收集的具体信息包括 Android ID,Mac地址,IMSI,操作系统数据,设备的品牌和型号,设备细节,语言,位置信息以及Google Play和Facebook等已安装应用程序的数据以发送到远程服务器。
恶意应用程序也能够上传已安装的应用程序信息,附件,用户操作信息以及有关激活事件的数据。
[来源:securityaffairs]
【系统安全】
苹果针对 Spectre CPU 发布安全更新
苹果发布了安全更新,以减轻影响与苹果设备上的Spectre处理器漏洞的影响,目前设备包括macOS High Sierra 10.13.2, iOS 11.2.2, 和Safari 11.0.2。
该公司之前在2017年12月发布了iOS 11.2,macOS 10.13.2和tvOS 11.2的安全更新,已经修复了meltdown漏洞(CVE-2017-5753)。
近期的Meltdown和Spectre事件可谓是IT行业的一次极具影响力的事件,几乎所有现代处理器都存在这些问题。熔断仅影响Intel CPU,而Spectre影响Intel,AMD和ARM的处理器。
Google安全专家以及其他多位学者发表的研究发现了这些缺陷,谷歌上周披露了这些CPU漏洞的存在。此外,Linux,微软,Mozilla,思科等许多硬件和软件供应商发布了更新或缓解方案。
[来源:bleepingcomputer]
Windows 7 装 CPU漏洞补丁后出现蓝屏 安全模式也进不了
近日又有消息称微软面向Windows 7系统发布的KB4056894存在升级失败问题,导致错误代号为0x000000c4的蓝屏情况。目前尝试过多种常规修复方案均没有奏效,唯一解决方案就是移除该补丁并选择忽略直到微软官方正式修复为止。
KB4056894补丁主要为Windows 7系统修复了日前爆发的Meltdown和Spectre两个漏洞。Windows 7用户在安装该更新,重启之后跳出如下错误:
*** STOP: 0x000000C4 (0X0000000000000091, 0x0000000000000000, 0xFFFFFF80002C4EFC0, 0x0000000000000000)随后用户无法进入安全模式,用户需要通过RollupFix恢复程序引导,然后卸载最新的补丁。但是Windows Update会重新提醒用户安装KB4056894更新。
[来源:cnbeta]
【IoT安全】
泄露数百万儿童数据,玩具制造商伟易达被FTC处以65万美元罚款
美国联邦贸易委员会(FTC)本日同意与一儿童电子玩具制造商达成和解协议。而实际上该公司伟易达收集了数百万儿童用户数据,却未能做好数据保护工作。
政府监管机构表示,伟易达将支付650,000美元,并同意一系列隐私和安全要求,解决违反儿童在线隐私保护法案(COPPA)和FTC法案的指控。
联邦贸易委员会指控说,伟易达因Kid Connect和Planet VTech游戏,以及儿童教育网站的运作违法而被提起诉讼。具体来说,该公司在2015年黑客事件和盗用客户数据发生之前,并没有妥善保护好上百万儿童用户及其父母的信息。
据称,违规儿童服务中存有约225万个帐户,其中包含大约三百万名儿童的信息。这些帐户中存在孩子的姓名,出生日期和性别以及父母的姓名,实际地址,电子邮件地址和安全问题答案。目前的65万罚款也意味着每个受到影响的孩子价值约 22 美分。
[来源:register]
*本文整理编译Elaine,转载请注明FreeBuf.COM
来源:freebuf.com 2018-01-10 07:00:28 by: Elaine_z
请登录后发表评论
注册