【安全幫】Git中的遠端程式碼執行漏洞已被修復 多個工具受影響
摘要: 索尼BRAVIA智慧電視機曝多個安全漏洞,無需賬號密碼即可實施攻擊據統計,目前全球聯網的智慧電視機估計已達到7.6億臺。和大多數物聯網裝置一樣,智慧電視機也包含始終線上且高效能的圖形處理器(GPU),而這恰好某些惡意軟體(尤其是惡意軟體挖掘惡意軟體)尋找的目標...
索尼 BRAVIA 智慧電視機曝多個安全漏洞,無需賬號密碼即可實施攻擊 
據統計,目前全球聯網的智慧電視機估計已達到7.6億臺。和大多數物聯網裝置一樣,智慧電視機也包含始終線上且高效能的圖形處理器(GPU),而這恰好某些惡意軟體(尤其是惡意軟體挖掘惡意軟體)尋找的目標之一。在上週,FortiGuard Labs就公開披露了三個影響到索尼BRAVIA智慧電視機的高嚴重程度漏洞:一個堆疊緩衝區溢位漏洞、一個目錄遍歷漏洞,以及一個命令注入漏洞。這些漏洞存在於索尼的一款名為“Photo Sharing Plus”的專屬應用程式中。
參考來源:
ofollow,noindex" target="_blank">https://www.hackeye.net/threatintelligence/16606.aspx
Git 中的遠端程式碼執行漏洞已被修復 多個工具受影響 
據外媒 BleepingComputer 報道 ,Git專案組於前兩天公佈了一個在 Git 命令列客戶端、Git Desktop 和 Atom 中發現的任意程式碼執行漏洞,這是一個比較嚴重的安全漏洞,可能會使得惡意倉庫在易受攻擊的計算機上遠端執行命令。當Git使用 –recurse-submodules 引數來克隆倉庫時,該命令會將URL翻譯為一個選項,然後可以使用該選項在計算機上進行遠端程式碼執行。當執行 “git clone –recurse-submodules” 時,Git 會解析 .gitmodules 檔案中的 URL 欄位,然後將其作為引數傳遞給 “git clone” 子程序。如果URL欄位是一個字串,並使用短劃線開頭,這個 “git clone” 子程序將會把 URL 翻譯為一個選項。這可能導致使用者執行 “git clone” 時,會執行 superproject 中的任意指令碼。
參考來源:
超 3 萬臺印度路由器遭挖礦軟體劫持:利用瀏覽器產出門羅幣 
近日,安全公司Banbreach釋出一份報告稱,在過去一個月內, 印度境內受到惡意挖礦軟體劫持的路由器在短時間內已經增長了一倍,截止 10 月5 日,黑客已經破解了全國超過3 萬臺路由器。 Banbreach通過跟蹤網際網路流量並使用公共IP地址監測,發現有45%的被攻擊路由器位於印度人口密度最低的地區。被植入瀏覽器的惡意軟體為CoinHive,黑客利用它呼叫使用者電腦的瀏覽器來挖門羅幣。有報道稱, 目前所有感染 CoinHive 的電腦能在一個月內產出25 萬美元。 這次攻擊並非印度第一次遭遇惡意挖礦軟體,就在上個月,有媒體爆出印度地方政府 網站 就已成為黑客的目標,超過119個印度網站被植入了CoinHive。
參考來源:
https://www.cnbeta.com/articles/tech/775023.htm
FB 被曝收集兒童資訊 多個保護組織呼籲關閉相關應用 
多家兒童和消費者保護組織表示,Facebook通過Messenger Kids應用非法收集少年兒童資料。Campaign for a Commercial-Free Childhood(CCFC)和其他保護組織上週都要求美國聯邦貿易委員會(FTC)調查這款以兒童為中心的訊息應用是否違反《兒童網路隱私法保護法》(COPPA)。這些組織認為,Facebook在沒有獲得兒童父母允許的情況下違法收集了他們的資訊。 投訴 信顯示,Messenger Kids並沒有滿足COPPA的要求,因為它並沒有努力確認開設帳號並獲取資料的人的確是兒童的父母。他們表示,有的人可以在不證明年齡或身份的情況下開設全新的虛假兒童帳號。Facebook上週三迴應稱,他們尚未對投訴信進行評估。該公司曾經表示,不會在Messenger Kds中投放廣告,也不會出於營銷目的而收集資料,但他們的確會收集一些運營這項服務所必須的資料。
參考來源:
http://tech.sina.com.cn/i/2018-10-08/doc-ihkvrhpt0311190.shtml
中國進一步擴大網路安全法規 
中國公安部最近公佈了《 公安機關網際網路安全監督檢查規定 》,這項規定進一步擴大了執法部門自去年網路安全法推行以來所擁有的權力。新的《規定》將於 11 月 1 日起實施,針對了 ISP、IDC、CDN 以及各類通訊服務和新聞網站,在加強網路安全的名義下要求這些服務商提供遠端訪問和技術支援服務,並允許執法機構遠端複製相關資訊,不配合的將會面臨懲罰。《規定》要求:執法機構可以進入營業場所、機房、工作場所;查閱、複製與網際網路安全監督檢查事項相關的資訊;開展現場監督檢查或者遠端檢測,可以委託具有相應技術能力的網路安全服務機構提供技術支援。
參考來源:
https://www.solidot.org/story?sid=58147
“ 間諜晶片 ” 事件後續:五家科技公司三天跌掉 5000 億元市值 
蘋果和亞馬遜本週三個交易日大概跌掉約 5000 億元市值,拖累全球最大科技指數納斯達克創下半年來最大單週跌幅。Super Micro、聯想、中興等分別在美國和香港上市的科技公司雖然相比之下市值下跌絕對值不算多(210 億元),但各自的跌幅卻是從 10% 到 50% 不等。這種跌勢主要跟彭博商業週刊本週一篇 長篇報道 有關。彭博援引匿名美國國家安全部門官員的話稱,在由中國分包方製造的 Super Micro 伺服器主機板上,被發現植入了一枚米粒大小的惡意晶片,這將使植入方有能力黑進伺服器並獲得敏感資料和資訊。Super Micro 、蘋果、亞馬遜是報道中主角之一。聯想和中興則被認為曾大量購買了 Super Micro 的產品。
參考來源:
https://www.secrss.com/articles/5528
育碧“土豆”伺服器遭 DDoS 攻擊:《奧德賽》受牽連 
《 刺客信條:奧德賽 》終於迎來了正式發售,但不幸的是,育碧的伺服器遭受了多次DDoS攻擊,這意味著這款系列新作的玩家們不得不面對令人沮喪的連線問題。在育碧售後支援的官方推特賬戶上,公司確認曾經歷過“一系列DDoS攻擊”,並表示這些攻擊導致部分遊戲出現延遲或連線問題。育碧旗下的遊戲並不是此次受DDoS攻擊影響的唯一受害者。Square Enix的MMO《最終幻想14》也受到了影響。遊戲官方網站的更新證實,《最終幻想14》正在遇到“技術難題”,玩家應該會遇到斷線以及訪問,傳送和接收資料的問題。開發商目前正在調查這種情況,並且正在部署“對策”,但據社交媒體報道,目前仍然存在不穩定的網路連線問題。
參考來源:
https://www.3dmgame.com/news/201810/3746693.html
關於安全幫
安全幫,是中國電信北京研究院旗下安全團隊,致力於成為“SaaS安全服務領導者”。目前擁有“1+4”產品體系:一個SaaS電商(www.anquanbang.vip) 、四個平臺(SDS軟體定義安全平臺、安全能力開放平臺、安全大資料平臺、安全態勢感知平臺)。
