科技

BUF早餐鋪 | 微軟與Adobe釋出安全更新；谷歌釋出Chrome安全更新；Edge與Safari瀏覽器存在安全風險...

谷歌 Edge瀏覽器 Chrome · 發表 2018-09-13 07:20:36

摘要：各位Buffer早上好，今天是 2018 年 9 月 13 日星期四，農曆八月初四。今天的早餐鋪內容有：微軟與 Adobe 釋出多個安全更新；谷歌釋出 Chrome 安全更新，取消網址的“安全”標識；瑞士資料管理公司 Veeam 洩露 4.45 億條使用者資料；殭屍網路 Mir...

各位Buffer早上好，今天是 2018 年 9 月 13 日星期四，農曆八月初四。今天的早餐鋪內容有：微軟與 Adobe 釋出多個安全更新；谷歌釋出 Chrome 安全更新，取消網址的“安全”標識； 瑞士資料管理公司 Veeam 洩露 4.45 億條使用者資料； 殭屍網路 Mirai 和Gafgyt 最新變種目標瞄準企業網路； Edge 與 Safari 瀏覽器存在安全風險，合法 URL 可被注入惡意內容；江蘇一高校2000多學生資訊遭洩露，疑被企業用於偷逃稅款。

以下請看詳細內容：

微軟與 Adobe 釋出多個安全更新

微軟在 9 月的修復日一共修復了 61 個漏洞，其中 17 個評級為嚴重，43 個評級為重要，1 個評級為普通。修復的產品包括 Windows、Edge、IE瀏覽器、Office、ChakraCore、.NET Framework、Microsoft.Data.OData、ASP.NET 等。在補丁釋出之時，只有四個是已經“公開通知”的，其餘漏洞則很可以已經在野利用。在 17 個嚴重漏洞中，Windows RCE 漏洞（CVE-2018-8475）、Windows ALPC 提權漏洞（CVE-2018-8440）、Scripting Engine 記憶體崩潰漏洞（CVE-2018-8457）以及 Windows Hyper-V 中的兩個嚴重遠端程式碼執行漏洞影響較大，使用者應儘快修復。

同時，Adobe 共修復了 Flash 播放器和 ColdFusion 中的 10 個漏洞，其中有 6 個為高危，可被攻擊者利用實現遠端執行任意程式碼。[來源： ofollow,noindex" target="_blank">thehackernews ]

瑞士資料管理公司 Veeam 洩露 4.45 億條使用者資料

近日，安全研究人員在網上發現了一個公開的資料庫，其中儲存著超過 200 G 的資料，但沒有任何安全防護。200 G 的內容包含瑞士智慧資料管理服務商 Veeam 的大量使用者資訊，包括姓名、郵箱地址、居住國等。此外，市場份額、使用者型別、企業規模、IP 地址、使用者代理等企業資訊也暴露無餘。資料具體暴露的時間尚不清楚，但研究人員表示，自己 9 月 5 日才發現該資料庫，而儲存資料庫的伺服器 IP 在 8 月 31 日就已經有人搜尋。目前 Veeam 已經發布公告，正在調查事件詳情。[來源： bleepingcomputer ]

谷歌釋出 Chrome 安全更新，取消網址的“安全”標識

谷歌釋出了 Chrome 69.0.3497.92 最新版本，適用於 Windows、MAC、Linux 等系統。新版本修復了一些漏洞，並取消了網址前的“安全”標識。Chrome 69 將不會再特地將HTTPS網站標記為“安全”，而是改在採用HTTP標準協議的網站旁標註“不安全”。這麼做的目的是讓使用者瞭解不安全的網站，從而進一步推進全網加密。隨著Chrome 70即將在10月份釋出，當用戶輸入資料時，HTTP 站點將顯示一個紅色的“不安全”警告。[來源： us-cert ]

殭屍網路 Mirai 和Gafgyt 最新變種目標瞄準企業網路

Palo Alto Networks 公司旗下 Unit 42 威脅研究團隊在 9 月 9 日釋出的一篇博文中指出，他們發現臭名昭著的物聯網殭屍網路 Mirai 和 Gafgyt 的新變種。新的 Mirai 變種針對的是與 2017 年 Equifax 資料洩露事件相關的 Apache Struts 漏洞，而新的 Gafgyt 變種針對的是一個最近才被公開披露的漏洞，該漏洞會影響到不再受支援的舊版 SonicWall 全球管理系統（GMS）。Unit 42 團隊發現，Mirai 和 Gafgyt 這些物聯網殭屍網路已經將目標從普通使用者轉向企業使用者，造成 DDoS 等威脅。[來源： bleepingcomputer ]

Edge 與 Safari 瀏覽器存在安全風險，合法 URL 可被注入惡意內容

安全研究員發現 Edge 和 Safari 瀏覽器中存在漏洞，可被利用向合法 URL 中注入惡意內容。攻擊者利用這個漏洞，可以上傳合法頁面，讓頁面地址隱藏到“URL”導航欄中並替換程式碼，同時原版的 URL 的原地址不會更改，依然顯示正常。隨後，攻擊者會建立虛假登入頁面或其他論壇，用於蒐集使用者的使用者名稱、密碼和其他資料。目前，微軟已經修復了 Edge 瀏覽器的漏洞，而蘋果經過一段時間依舊沒有修復。[來源： theregister ]

江蘇一高校2000多學生資訊遭洩露，疑被企業用於偷逃稅款

據中國之聲《新聞縱橫》報道。又是一年開學季，不少準畢業生為找工作忙的是焦頭爛額，發出了畢業即失業的感嘆，然而江蘇常州大學懷德學院的部分學生卻恰恰相反，沒有找到工作的他們卻發現自己“被就業”了。

近日，有網友在社交媒體釋出訊息稱，江蘇常州大學懷德學院發生大規模學生資訊洩露事件，上千名學生資訊被不法企業盜用。記者調查發現，洩露資訊的學生人數超過2600名，企業涉及省內多地，資訊疑被企業用於偷逃稅款。

記者從靖江市公安局得知，在接到懷德學院學生報警後，靖江警方高度重視，立即啟動重大案件偵查機制，迅速對案件立案調查。目前，專案組正在調查取證，調查進展將及時向社會公佈。[來源：新華網 ]

*AngelaY 編譯整理，轉載請註明來自 FreeBuf.COM

來源：FreeBuf