BUF早餐鋪 | 微軟與Adobe釋出安全更新;谷歌釋出Chrome安全更新;Edge與Safari瀏覽器存在安全風險...
各位Buffer早上好,今天是 2018 年 9 月 13 日星期四,農曆八月初四。今天的早餐鋪內容有:微軟與 Adobe 釋出多個安全更新; 谷歌釋出 Chrome 安全更新,取消網址的“安全”標識; 瑞士資料管理公司 Veeam 洩露 4.45 億條使用者資料; 殭屍網路 Mirai 和Gafgyt 最新變種目標瞄準企業網路; Edge 與 Safari 瀏覽器存在安全風險,合法 URL 可被注入惡意內容; 江蘇一高校2000多學生資訊遭洩露,疑被企業用於偷逃稅款。
以下請看詳細內容:
微軟與 Adobe 釋出多個安全更新
微軟在 9 月 的修復日一共修復了 61 個漏洞,其中 17 個評級為嚴重,43 個評級為重要,1 個評級為普通。修復的產品包括 Windows、Edge、IE瀏覽器、Office、ChakraCore、.NET Framework、Microsoft.Data.OData、ASP.NET 等。在補丁釋出之時,只有四個是已經“公開通知”的,其餘漏洞則很可以已經在野利用。在 17 個嚴重漏洞中,Windows RCE 漏洞(CVE-2018-8475)、Windows ALPC 提權漏洞(CVE-2018-8440)、Scripting Engine 記憶體崩潰漏洞(CVE-2018-8457)以及 Windows Hyper-V 中的兩個嚴重遠端程式碼執行漏洞影響較大,使用者應儘快修復。
同時,Adobe 共修復了 Flash 播放器和 ColdFusion 中的 10 個漏洞,其中有 6 個為高危,可被攻擊者利用實現遠端執行任意程式碼。[來源: ofollow,noindex" target="_blank">thehackernews ]
瑞士資料管理公司 Veeam 洩露 4.45 億條使用者資料
近日,安全研究人員在網上發現了一個公開的資料庫,其中儲存著超過 200 G 的資料,但沒有任何安全防護。200 G 的內容包含瑞士智慧資料管理服務商 Veeam 的大量使用者資訊,包括姓名、郵箱地址、居住國等。此外,市場份額、使用者型別、企業規模、IP 地址、使用者代理等企業資訊也暴露無餘。資料具體暴露的時間尚不清楚,但研究人員表示,自己 9 月 5 日才發現該資料庫,而儲存資料庫的伺服器 IP 在 8 月 31 日就已經有人搜尋。目前 Veeam 已經發布公告,正在調查事件詳情。[來源: bleepingcomputer ]
谷歌釋出 Chrome 安全更新,取消網址的“安全”標識
谷歌釋出了 Chrome 69.0.3497.92 最新版本,適用於 Windows、MAC、Linux 等系統。新版本修復了一些漏洞,並取消了網址前的“安全”標識。Chrome 69 將不會再特地將HTTPS網站標記為“安全”,而是改在採用HTTP標準協議的網站旁標註“不安全”。這麼做的目的是讓使用者瞭解不安全的網站,從而進一步推進全網加密。隨著Chrome 70即將在10月份釋出,當用戶輸入資料時,HTTP 站點將顯示一個紅色的“不安全”警告。[來源: us-cert ]
殭屍網路 Mirai 和Gafgyt 最新變種目標瞄準企業網路
Palo Alto Networks 公司旗下 Unit 42 威脅研究團隊在 9 月 9 日釋出的一篇博文中指出,他們發現臭名昭著的物聯網殭屍網路 Mirai 和 Gafgyt 的新變種。新的 Mirai 變種針對的是與 2017 年 Equifax 資料洩露事件相關的 Apache Struts 漏洞,而新的 Gafgyt 變種針對的是一個最近才被公開披露的漏洞,該漏洞會影響到不再受支援的舊版 SonicWall 全球管理系統(GMS)。Unit 42 團隊發現,Mirai 和 Gafgyt 這些物聯網殭屍網路已經將目標從普通使用者轉向企業使用者,造成 DDoS 等威脅。[來源: bleepingcomputer ]
Edge 與 Safari 瀏覽器存在安全風險,合法 URL 可被注入惡意內容
安全研究員發現 Edge 和 Safari 瀏覽器中存在漏洞,可被利用向合法 URL 中注入惡意內容。攻擊者利用這個漏洞,可以上傳合法頁面,讓頁面地址隱藏到“URL”導航欄中並替換程式碼 ,同時原版的 URL 的原地址不會更改,依然顯示正常。隨後,攻擊者會建立虛假登入頁面或其他論壇,用於蒐集使用者的使用者名稱、密碼和其他資料。目前,微軟已經修復了 Edge 瀏覽器的漏洞,而蘋果經過一段時間依舊沒有修復。[來源: theregister ]
江蘇一高校2000多學生資訊遭洩露,疑被企業用於偷逃稅款
據中國之聲《新聞縱橫》報道。又是一年開學季,不少準畢業生為找工作忙的是焦頭爛額,發出了畢業即失業的感嘆,然而江蘇常州大學懷德學院的部分學生卻恰恰相反,沒有找到工作的他們卻發現自己“被就業”了。
近日,有網友在社交媒體釋出訊息稱,江蘇常州大學懷德學院發生大規模學生資訊洩露事件,上千名學生資訊被不法企業盜用。記者調查發現,洩露資訊的學生人數超過2600名,企業涉及省內多地,資訊疑被企業用於偷逃稅款。
記者從靖江市公安局得知,在接到懷德學院學生報警後,靖江警方高度重視,立即啟動重大案件偵查機制,迅速對案件立案調查。目前,專案組正在調查取證,調查進展將及時向社會公佈。[來源: 新華網 ]
*AngelaY 編譯整理,轉載請註明來自 FreeBuf.COM