当前位置: 首页 > 网络安全 > 正文

网络安全一周安全头条 ( 2019.11.10-11.16 )

【来源: | 发布日期:2019-11-25 】

1.报告调研  JavaScript框架  安全漏洞

近日,Snyk发布了2019年度的JavaScript框架安全状况报告,除了最流行的JS框架 Angular和React外,报告还观察了其它三个流行JS前端框架Vue.js、Bootstrap和jQuery的安全漏洞。jQuery过去12个月的下载量超过了1.2亿次,是Vue.js的4000万次和Bootstrap的7900万次之和。Vue.js发现了4个漏洞,都已经修复。Bootstrap发现了7个跨站脚本漏洞,3个是在2019年披露的,无安全修正。jQuery发现了6个影响所有版本的安全漏洞,4个是中等危险级别的跨站脚本漏洞,1个是中危Prototype Pollution漏洞,还有一个是低危拒绝服务漏洞。

http://uee.me/cAcLy


2.“虚假”勒索软件  特朗普  恶意锁屏  普京

近日,思科 Talos Intelligence 恶意软件研究人员表示,他们发现了一些以特朗普图像为特征的虚假勒索软件和恶意锁屏程序,即以唐纳德·特朗普 (Donald Trump) 主题的虚假勒索软件出现在电子邮箱的收件箱里,这些勒索软件试图欺骗受害者,让他们支付一定费用来解密从未加密过的文件。据悉,网络犯罪分子和骗子不仅利用特朗普的品牌来包装他们的恶意软件,还将俄罗斯总统弗拉基米尔·普京的形象展示在锁定屏幕上,并显示 “普京锁屏软件已经锁定了你的电脑”。


3.网络攻击  勒索软件  墨西哥  石油公司Pemex

上周日,墨西哥国有石油公司Pemex的系统遭到DoppelPaymer勒索软件感染并破坏,被索要490万美元的赎金。该公司发布的安全公告中写道,“和其他国际政府以及金融公司和机构一样,Pemex经常收到威胁和网络攻击。11月10日星期日,这家国有生产公司遭遇了网络攻击,这些攻击最终被及时消除,并且只影响了不到5%的个人计算机设备的运行。此次事件过后,Pemex重申其燃料生产,供应和库存是有安全保障的。” Pemex确认其基础设施与所有主要的国家和国际政府以及金融组织一样,正不断面对来自黑客的攻击,因此公司正在持续加强安全措施。

http://uee.me/cAEa7


4.垃圾邮件  WebEx  重定向漏洞

近日,研究人员发现一种新型的垃圾邮件传播活动,其伪装成WebEx的会议邀请,并使用思科开放的重定向漏洞将远程访问木马推送收件人,以此牵引访问者到攻击者的目标的站点。

http://uee.me/cAcG6


5.漏洞补丁  Facebook  iPhone摄像头

近日,iPhone用户反映Facebook应用程序在滚动浏览提要或查看社交网络照片时,后台秘密激活了手机摄像头。测试表明该漏洞仅影响运行iOS 13.2.2的iPhone用户。该漏洞源于244版Facebook iOS应用横向模式的错误启动,导致应用部分导航到相邻相机屏幕,尚不清楚该程序是否通过错误访问相机记录上传了用户隐私。目前Facebook已向苹果提交了该应用程序的补丁版本。

http://rrd.me/eXmMv


6.安全研究  英特尔处理器  边信道攻击  ZombieLoad

今年 5 月,计算机科学家公开了英特尔处理器的新边信道攻击 ZombieLoad,攻击影响 2011 年之后发布的几乎所有英特尔处理器。现在新的 Zombieload 漏洞变种 v2 能影响最近发布的英特尔处理器,其中包括 Cascade Lake。英特尔正在释出处理器的微码更新去修复最新的漏洞。Zombieload 漏洞与 之前披露的 Meltdown、Spectre 和 Foreshadow 漏洞类似,都是利用预测执行,去实现跨线程、权限边界和超线程的数据泄露。

http://uee.me/cAErn


7.漏洞补丁  5G

近日,研究人员发现了11 个全新5G 漏洞。这些漏洞允许黑客创建一个恶意的无线基站,对用户进行实时位置追踪,可能触发紧急警报或对手机发动攻击。专家表示,只要掌握4G和5G 网络相关知识,并拿到低成本的软件无线电,即可发动攻击。目前研究员已通知GSM 协会(GSMA),希望漏洞问题能尽快被解决。

http://rrd.me/eXubp


8.漏洞补丁  微软  0day

微软本周发布了11月的安全更新,修复了9个产品共74个漏洞,其中13个漏洞为高危漏洞。本月的更新还包含了一个0day漏洞,存在于IE的脚本引擎中,从而使得攻击者可以通过恶意的Office文档实施攻击,在受害系统上远程执行任意代码,并获得当前用户同样的权限。另一方面,该漏洞已经被攻击者广泛使用。因此,Windows的用户需要尽快进行本月的更新。

http://1t.click/bdtv


9.漏洞补丁  硬件安全  边信道攻击  TPM

近日,研究者公布了CPU中TPM的两个漏洞,可能影响数十亿设备。研究者发现,通过边信道攻击,利用时序信息能够恢复加密密钥。在PoC中,研究人员测试并在即使没有管理员权限的情况下恢复了ECDSA与ECSchnorr的256位私钥。攻击者一旦成功获取私钥,就可以仿造数字签名、窃取或者修改信息、绕过OS防御能力或者破解硬件上的应用程序。由于TPM被广泛应用于笔记本、台式机、服务器、智能手机与物联网设备等应用,该漏洞影响巨大。然而,尽管研究者二月就已经提交了漏洞报告,英特尔与STMicroelectronics本周二才刚刚公布漏洞。

http://1t.click/bdtx


10.安全研究  macOS   Apple Mail  加密邮件

近日,研究人员发现,macOS上的Apple Mail以纯文本格式,将用户的加密邮件以未加密形式存储在macOS上。系统中存在一个含有大量数据库的文件夹,这些数据库存储着来自AppleMail和其他应用程序的信息,可被用于推荐联系人。该漏洞源于Siri自动抓取加密电子邮件,若用户已配置Apple Mail来发送和接收加密邮件,则Siri会收集邮件的纯文本版本并存储在数据库中。事后,苹果官方承诺在软件更新中修复这一漏洞,但截至目前仍未修复。


11.漏洞补丁  亚马逊  门铃  WiFi拦截

近日,亚马逊的Ring Video Doorbell Pro(环形视频门铃)被曝一个高危漏洞,允许黑客连接互联网门铃拦截用户Wi-Fi,并通过MitM对连接到同一网络的其他设备发起各种网络攻击。该漏洞源于Ring设备配置模式,进入该模式后设备会创建内置且无密码的网络访问点,黑客利用该网络访问点和网络凭据进入HTTP通信,从而获取通信内容,访问无密码网络设备上的私人文档、照片、电子邮件和其他个人数据。


12.数据泄露  Facebook  内部机密文件

Facebook正在面临前所未有的危机:近7000页内部机密文件被泄露。据悉,本次曝光的数据涉及Facebook如何将用户数据作为谈判筹码来巩固这家社交巨头的统治地位,如何计划监视Android用户的位置,如何控制竞争对手,甚至在孵化前杀死竞争对手。泄露文件共约7000页,其中约4000页是Facebook内部通信,包括内部电子邮件、网络聊天、笔记、演示文稿和电子表格,时间范围主要从2011年到2015年,且大约1200页被标记为“高度机密”。


13.谷歌  南丁格尔计划  个人健康信息  非法访问/收集

近日,谷歌被曝秘密开展了名为“南丁格尔计划(Project Nightingale)“,即在患者及医生并不知情的情况下秘密收集了数百万美国人的个人健康数据。据悉,此计划收集的数据包括实验室结果、医生诊断和住院记录等,此外还有患者完整的健康史及姓名、出生日期等其他信息。有关人士介绍,谷歌于去年与美国医疗集团Ascension合作启动了该项目,该数据收集涉及全美21个州,至少有150名Google员工可以对“数千万”患者的数据进行了非法访问。