BUF早餐鋪 | 新蛋網使用者信用卡資料洩漏;西數NAS出現嚴重安全漏洞,攻擊者可獲得完整訪問許可權;超...
各位Buffer早上好,今天是2018年9月21日星期五,農曆八月十二。今天的早餐鋪內容有:新蛋網使用者信用卡資料洩漏,惡意程式碼存在約1個月;西數NAS出現嚴重安全漏洞,攻擊者可獲得完整訪問許可權;超過3000個網站的訪問許可權在俄羅斯黑市上出售;Adobe釋出針對Adobe Reader和Acrobat的重要安全更新;最高法五年工作規劃:擬出臺相關司法解釋,保護個人資訊權;研究報告指出加密貨幣未必安全,相關非法活動比去年多459%。
以下請看詳細內容:
新蛋網使用者信用卡資料洩漏,惡意程式碼存在約1個月
有安全研究人員發現,黑客將15行銀行卡盜刷程式碼植入新蛋網支付頁面,從8月14月-9月18日,程式碼一直存在。這種惡意程式碼從使用者手中竊取信用卡資料,傳輸到由黑客控制的伺服器。黑客的程式碼同時影響桌面端和移動端使用者,只是目前還不清楚移動端使用者是否已經受到影響。
安全研究人員指出,攻擊新蛋網的方式十分巧妙,偽裝極好,與最近英國航空公司(British Airways)信用卡洩露事件、以及之前發生的Ticketmaster洩露事件有些類似。有人將新蛋網資料洩露事件歸咎於黑客團體Magecart,他們喜歡針對有漏洞的網站發起攻擊。[來源: ofollow,noindex" target="_blank">thehackernews ]
西數NAS出現嚴重安全漏洞,攻擊者可獲得完整訪問許可權
西部資料(Western Digital)廣受歡迎的 My Cloud 系列網路附加儲存(NAS)裝置,近日曝出了一個嚴重的安全漏洞,導致攻擊者可以完全訪問裝置裡的內容。荷蘭安全研究員 Remco Vermeulen 剛剛分享了有關該問題的“特權提升攻擊報告”,另一位同行亦表示早已披露了其它攻擊的詳細資訊,但西數迄今未給出韌體更新。
Remco Vermeulen 指出:身份驗證繞過漏洞允許攻擊者在登入裝置之前獲得管理員許可權,他們只需建立反向 shell,便可訪問驅動器上的使用者檔案。[來源: cnBeta ]
超過3000個網站的訪問許可權在俄羅斯黑市上出售
Flashpoint的研究人員發現使用俄語的地下黑客論壇正在出售超過3000個網站的訪問許可權,有些網站訪問許可權的售價最低為20美分。按照賣家的說法,買家可以掌握網站的PHP shell、託管控制、域控制、檔案傳輸協議(FTP)、安全套接字Shell(SSH)、管理面板和資料庫。
大多數被出售的網站都是電子商務網站,少量為醫療保健、法律、教育和保險行業以及屬於政府機構和組織的網站。[來源: securityaffairs ]
Adobe釋出針對Adobe Reader和Acrobat的重要安全更新
上週Adobe釋出了 9月的月度補丁 ,包含6個關鍵更新。看起來他們漏了了一個,昨晚Adobe釋出了針對Adobe Acrobat和Adobe Reader中關鍵漏洞的重要安全更新。
Adobe釋出的 APSB18-34 安全公告描述了漏洞的資訊,這是一個越界寫入漏洞(CVE-2018-12848),可實現未經許可的程式碼執行,上週釋出的補丁針對的是6個可導致資訊洩露的越界訪問漏洞。[來源: BLEEPINGCOMPUTER ]
最高法五年工作規劃:擬出臺相關司法解釋,保護個人資訊權
隨著個人資訊洩露事件的增多,人們對個人資訊保護的需求也不斷高漲。近日,最高人民法院釋出《關於在司法解釋中全面貫徹社會主義核心價值觀的工作規劃(2018-2023)》(以下簡稱《規劃》)。《規劃》明確規定,要及時出臺審理個人資訊權糾紛案件適用法律問題的司法解釋,保護個人資訊權。
“以前民法和行政法律規則不健全,只能依靠刑法規則,但是僅僅依靠刑事法律打擊犯罪並不能真正有效地提升企業的資料安全管理水平。現在最高法擬出臺審理個人資訊權糾紛案件的司法解釋,提供民事救濟渠道,將進一步完善我國個人資訊權利保護框架下公力救濟和私力救濟機制。”上海社會科學院資訊研究所助理研究員張衠表示。[來源: 安全內參 ]
研究報告指出加密貨幣未必安全,相關非法活動比去年多459%
網路安全機構Cyber Threat Alliance在週三公佈的 研究報告 中指出,比特幣未必安全,黑客利用軟體漏洞,非法“劫持”其它裝置的計算力,從事門羅幣(Monero)、比特幣等加密貨幣挖礦活動,而且這個漏洞是利用了美國政府機構的黑客工具。
報告中說,在加密貨幣挖礦領域,2018年發生的違法事件比2017年多出459%。之所以創下新高,與2017年發生的“永恆之藍”(Eternal Blue)洩露事件有著密切的關係。“永恆之藍”是一種黑客工具,它可以從老舊 微軟 系統中找到漏洞並加以利用。黑客可以利用這種工具,霸佔其他人的計算力來生成數字貨幣。[來源: cnBeta ]
*Freddy 編譯整理,轉載請註明來自 FreeBuf.COM