– 作者:Sphinx

今天是2018年1月8日星期一,今天的早餐内容有:苹果确认Meltdown和Spectre漏洞影响所有Mac和iOS设备,现已发放部分补丁;微软紧急更新修复Meltdown和Spectre CPU漏洞;247000名 DHS现任或前雇员遭遇数据泄漏问题;研究人员发现黑客利用谷歌应用程序脚本让恶意软件的下载自动化;加密货币挖矿病毒通过SSH传播。

Tasty-Kitchen-Blog-Zhong-Xi-Breakfast-00.jpg

【芯片漏洞】

苹果确认Meltdown和Spectre漏洞影响所有Mac和iOS设备,现已发放部分补丁

15151285547557.jpg

近日芯片底层漏洞曝出之后,各大厂商都开始紧急自查,并快马加鞭发布补丁。苹果也发布声明,确认所有 Mac 和 iOS 设备都受到 Meltdown 和 Spectre 漏洞影响。目前,苹果已经发布 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 版本更新,以修复漏洞。同时,Safari 的相关更新也会尽快发布,以解决 Spectre 漏洞带来的影响。苹果用户可尽快去官网下载更新。

这份声明没有清楚说明老版本的 iOS 和 Mac 中是否已经解决 Meltdown 和 Spectre 带来的问题。但是,由于macOS 10.13.2 新版本发布时,也发布了旧版 macOS 的安全更新,因此 Sierra 和 El Capitan 的修复方案也指日可待。 苹果表示,即将发布的 Safari 修复方案不会对 Speedometer 和 ARES-6 造成“可测量的影响”,且对 JetStream benchmark 的影响也不到2.5%。

[FreeBuf]

微软紧急更新修复Meltdown和Spectre CPU漏洞

15151231313937.jpg

1月3日深夜,微软发布了针对Meltdown和Specter的系统安全更新,而两个安全漏洞影响了几乎所有自1995年以来发布的CPU(不止Intel)。根据微软的安全建议来看,这些 Windows 安全更新能够解决了各种Windows 发行版中的Meltdown和Spectre漏洞。

但这次的微软更新并非是全面修复。部分 Windows PC 可能还需要额外的 CPU固件更新来防范 Spectre 攻击,不过 Microsoft的安全更新似乎完全解决了 Meltdown 漏洞。

目前用户在进行更新时似乎还遇到了其他问题,Meltdown 和 Spectre 安全更新似乎与反病毒软件们相处得并不融洽。

Windows用户详细自查修复指南请点此查看

[FreeBuf]

【国际时事】

247000名 DHS现任或前雇员遭遇数据泄漏问题

DHS-firewall.jpg

目前有24.7万DHS人员受到影响。

美国国土安全部(DHS)遭受的隐私事件泄露了247,167名现任和前任联邦雇员的数据。

黑客攻击了国土安全部监察长办公室(OIG)使用的一个数据库,这个数据库存储在国土安全部办公厅的OIG案件管理系统中。

“2018年1月3日,部分DHS的员工收到通知,说他们可能受到泄露事件的影响。隐私事件并不是来自外部的网络攻击,有证据表明,泄露的个人信息不是黑客原来的主要目标。“国土安全部公告称。

泄露的数据包括员工姓名,社会安全号码,出生日期,职位,等级和工作地点。

[SecurityAffairs]

【漏洞攻击】

研究人员发现黑客利用谷歌应用程序脚本让恶意软件的下载自动化

google-apps-script.jpg

Proofpoint的研究人员最近发现,Google Apps脚本可能被黑客滥用,黑客可以将托管在Google云端硬盘上的恶意软件下载到目标设备。

Google Apps脚本是一种基于JavaScript的脚本语言,允许开发人员构建Web应用程序并自动执行任务。安全研究员注意到,该服务可能已经被用来通过使用简单的触发器(例如onOpen或onEdit)来传递恶意软件。

在Proofpoint描述的攻击场景中,攻击者上传一段恶意软件到Google Drive,并创建一个公共链接。然后,他们把链接发送给目标用户。一旦受害者尝试编辑Google文档,Apps脚本触发器会导致恶意软件自动下载到他们的设备。研究人员表示,攻击者可以利用欺骗受害者执行恶意软件。

Google已经对触发器做了新的限制,阻止通过打开文档触发的恶意软件和钓鱼攻击。

滥用Google Apps Script的行为并不是闻所未闻。之前Carbanak恶意软件就利用它来进行指挥和控制(C&C)通信服务。

[SecurityWeek]

加密货币挖矿病毒通过SSH传播

2239436358-0.jpg

F5 Networks发现,Linux加密挖矿病毒利用SSH和Python进行传播,使得传播过程难以察觉。

这个被称为PyCryptoMiner的挖矿病毒会用Pastebin接收新的命令。现在作者还加入了新功能,它会扫描存在漏洞的JBoss服务器(利用CVE-2017-12149)。

据估计,截至12月底,该僵尸网络的收入约为46,000美元,收入都来自挖到的门罗币。

PyCryptoMiner并不是针对Linux系统的唯一的僵尸网络,但是由于它基于脚本语言更容易混淆。此外,F5的研究人员发现它是通过一个合法程序执行的。

[SecurityWeek]

【国内新闻】

工信部加强工业互联网安全保障工作 到2020年建成“一网一库三平台”

a91ff2_0b1a9cf0dade4db3ace6e6753280768a~mv2.jpg_srz_980_677_85_22_0.50_1.20_0.00_jpg_srz.jpg

为加快我国工业控制系统信息安全保障体系建设,提升工业企业工业控制系统信息安全防护能力,促进工业信息安全产业发展,工业和信息化部日前印发《工业控制系统信息安全行动计划(2018—2020年)》。工信部信息化和软件服务业司相关负责人今日表示,这是为工业互联网安全保障工作制定了时间表和路线图,进一步明确了部门、地方和企业做什么和怎么做,为下一步开展工控安全工作提供了依据和指导。

随着“中国制造2025”全面推进,工业数字化、网络化、智能化加快发展,新形势下工控安全工作的重要性和紧迫性更加凸显。《行动计划》实施的主要目标包括,到2020年,建成工控安全管理工作体系,全系统、全行业工控安全意识普遍增强,建成“一网一库三平台”。同时,促进工业信息安全产业发展,提升产业供给能力,培育一批龙头骨干企业,创建3个至5个国家新型工业化产业化产业示范基地。

对于“一网一库三平台”,上述负责人解释说,“一网”是指全国工控安全在线监测网络。将支持国家工业信息安全发展研究中心牵头,联合地方、行业等技术机构,建设以国家工控安全在线监测平台为中心,纵向连接省级分中心,横向覆盖重点工业行业的多级监测网络,实现对全国重要工业控制系统运行状态、风险隐患的实时感知、精准研判和科学决策。

[新华社]

人民网评支付宝年度账单:大数据时代谁主宰个人数据

fd18e9ca433e4af1a6e0cdca88787666.jpeg

查看支付宝一年的账单,不仅看到了全年支出记录,还能得到“才华、能干、温暖”等酷评。这款运用大数据统计分析的年度账单成了几天来的新时尚,刷爆了网民朋友圈。就在大家竞相转发调侃之时,并没有察觉到个人数据信息已然悄无声息地落入他人掌控之中。

支付宝年度账单推出后,就有人指出账单下方有一行很小的字“我同意《芝麻服务协议》”不但字特别小,还替用户勾选了同意。许多用户并没有注意到提示,等于默认接受了服务协议。签署这份极易被用户忽略的《芝麻服务协议》,意味着芝麻信用可以向第三方提供用户的个人信息。芝麻信用还可以对用户的全部信息进行分析并将分析结果推送给合作机构,如果用户拒绝第三方查询其个人信息,芝麻信用可不予支持。言外之意,用户一经同意《芝麻服务协议》,个人信息使用分析等权利,将由芝麻信用做主,本人或无权干涉。

虽然芝麻信用及时修正了套取个人数据授权的做法,但年度账单携带私货《芝麻服务协议》的行为却失信于民。一个征信平台缺少基本的诚信,如何让更多人认可。征信机构作为第三方平台,具有独立分析能力,不受商业盈利的干扰才能彰显其公信力。支付宝一方面从用户身上获取盈利;一方面芝麻信用又通过无偿使用用户数据制定评价标准。用户使用蚂蚁金服提供的金融服务、支付宝交易数据、消费金额等都会对综合评分产生影响。如果征信评价机构与被评价的用户之间有利益纠葛的话,其公信力自然也会大打折扣。而芝麻信用所获取数据源于阿里巴巴的电商交易数据、蚂蚁金服的互联网金融数据,缺少用户个人信息、经济信息的全面收集,无法涵盖用户的公共记录,债权债务纠纷等信息,很难多维度评价个人征信情况,所作结论也难免有失偏颇。更为重要的是个人征信平台依法应有准入机制,目前芝麻信用尚未得到相关部门的许可,还缺少合法身份。由此可见,芝麻信用平台本身的信用也是打折扣的。

[新浪科技]

来源:freebuf.com 0000-00-00 00:00:00 by: Sphinx

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论