BUF早餐鋪 | 近70萬名美國運通的印度客戶個人詳細資訊發生洩露;VirtualBox零日漏洞細節和利用程式碼...
各位 Buffer 早上好,今天是 2018 年 11 月 9 日星期五,農曆十月初二。今天的早餐鋪內容有:近70萬名美國運通的印度客戶個人詳細資訊發生洩露;VirtualBox零日漏洞細節和利用程式碼驚現網上:可虛擬機器逃逸;谷歌釋出11月Android安全補丁:也是Nexus 5X/6P的最後一次得到更新;2018 Q3 Android新惡意樣本數量達320萬個 同比增加40%;CNCERT:Apache Struts2 Commons FileUpload反序列化遠端程式碼執行漏洞安全公告。
近70萬名美國運通的印度客戶個人詳細資訊發生洩露
三週前,網路安全公司Hacken的網路風險研究主管Bob Diachenko發現了暴露在外的伺服器,該伺服器沒有設定密碼。伺服器上的大多數資料已加密並需要解密金鑰才能檢視,但研究人員表示,689,272條記錄以明文形式儲存,任何偶然發現資料庫的人都可以訪問。
Diachenko說,明文記錄包含美國運通印度客戶的個人詳細資訊,如電話號碼、全名、電子郵件地址和信用卡型別描述欄位。這些資料不算特別敏感,但可用於垃圾郵件攻擊和營銷。另一方面,加密記錄總共2,332,115個條目,包含更多個人資訊。根據MongoDB表的標題,這包括客戶名稱、地址、Aadhar號碼、PAN卡號碼和電話號碼。[來源: ofollow,noindex" target="_blank">zdnet ]
VirtualBox零日漏洞細節和利用程式碼驚現網上:可虛擬機器逃逸
Oracle花了整整15個月的時間來修復之前的一個類似問題之後,俄羅斯研究人員索性在GitHub上釋出了 詳細介紹 VirtualBox零日漏洞的報告文章。據上傳到GitHub的文字檔案顯示,聖彼得堡的研究人員謝爾蓋•澤倫尤克(Sergey Zelenyuk)發現了一條漏洞鏈,這些漏洞讓惡意程式碼可以逃離VirtualBox虛擬機器(訪客作業系統),在底層的(主機)作業系統上執行。一旦離開了VirtualBox虛擬機器,惡意程式碼將在作業系統的有限使用者空間(核心ring 3)中執行,但澤倫尤克表示,攻擊者可以利用許多已知的許可權提升漏洞來獲得核心級訪問許可權(ring 0)。
所幸,該零日漏洞並不對同樣嚴重依賴虛擬機器的雲託管環境構成威脅。大多數雲端計算服務使用直接在伺服器硬體上執行的型別-1(原生)虛擬機器管理程式來管理虛擬機器。VirtualBox是型別-2虛擬機器管理程式,因為它在已經執行的作業系統(主機作業系統)裡面執行虛擬機器(訪客作業系統)。該漏洞讓安全研究人員們感到恐慌,因為VirtualBox是用於日常惡意軟體分析和逆向工程的最流行的虛擬機器應用軟體之一。[來源: pingcomputer.com/news/security/virtualbox-zero-day-vulnerability-details-and-exploit-are-publicly-available/" rel="nofollow,noindex" target="_blank">bleepingcomputer ]
谷歌釋出11月Android安全補丁:也是Nexus 5X/6P的最後一次得到更新
邁入11月,谷歌今天按例釋出了本月的Android安全補丁。目前尚處於支援狀態的Pixel和Nexus裝置已經獲得了安全補丁級別2018-11-05。值得注意是,Nexus 6P和5X是最後一次獲得安全更新。這兩款裝置原定於今年9月停止支援,不過隨後谷歌決定延遲兩個月時間。
在釋出補丁公告之前,谷歌會提前30天通知合作伙伴和OEM廠商來修復這些漏洞。在公告中詳細介紹了這些安全漏洞的資訊,並提供了修復這些漏洞的補丁。同以往相同,包含補丁的原始碼將會在兩天內釋出到Android Open Source Project (AOSP) 庫中,方便OEM廠商和自定義ROM愛好者使用。公司表示,目前沒有收到黑客使用本月報告漏洞的報告。[來源: bleepingcomputer ]
2018 Q3 Android新惡意樣本數量達320萬個 同比增加40%
根據G DATA近日公佈的2018年第3季度報告,新Android惡意樣本數量達到了320萬個,與2017年同期相比增長了40%。在分析報告中寫道:“移動裝置日益成為網路犯罪分子的攻擊目標,特別是Android裝置。其中最重要的原因是全球每10個人中就有8人使用Android裝置。”
報告中指出平均每天會發現大約11700個新Android惡意軟體樣本,Android平臺的威脅程度日益加深,很多使用者面臨著裝置被攻擊的風險中。此外由於全球80%的手機均為Android系統,因此Android平臺也是黑客重點攻擊的目標。[來源: cnbeta ]
CNCERT:Apache Struts2 Commons FileUpload反序列化遠端程式碼執行漏洞安全公告
2018年11月7日,國家資訊保安漏洞共享平臺(CNVD)收錄了Apache Struts2 Commons FileUpload反序列化遠端程式碼執行漏洞(CNVD-2016-09997,對應CVE-2016-1000031)。攻擊者利用該漏洞,可在未授權的情況下遠端執行程式碼。目前,廠商已釋出修復漏洞的版本。
Struts2是第二代基於Model-View-Controller(MVC)模型的java企業級web應用框架,成為國內外較為流行的容器軟體中介軟體。2018年11月5日,Apache Strust2釋出最新安全公告,Apache Struts2存在遠端程式碼執行的高危漏洞(CVE-2016-1000031),該漏洞由Tenable研究團隊發現。此漏洞為FileUpload 庫中的一個高危漏洞,這個庫作為Apache Struts 2的一部分,被用作檔案上傳的預設機制。攻擊者可以在未經授權的情況下,執行任意程式碼並可獲取目標系統的所有許可權。[來源: 安全內參 ]
*Freddy 編譯整理,轉載請註明來自 FreeBuf.COM