·微软 Windows JScript 组件被曝 RCE 漏洞
·健身应用程序 PumpUp 泄露健康数据以及私人消息
·加拿大两大银行遭黑客攻击 近9万名客户数据被窃
·Google Chrome 67稳定版发布:共计修复34处安全漏洞
·欧洲刑警组织创建暗网调查小组
·二手手机信息泄露乱象:10元可买通讯录,几十元可恢复已经删除的数据
·工信部发布《一季度网络威胁态势分析》 先敌防御构筑安全
Telspace Systems 公司的研究员发现微软的 Windows JScript 组件存在重要漏洞,可导致远程攻击者在用户电脑上执行恶意代码。这个漏洞的实现条件是攻击者要诱导用户访问恶意网页或者在系统上下载并打开(一般由 Windows Script Host-wscript.exe 执行)恶意 JS 文件,执行动作后,可导致特定指针在释放后遭重用,进而在当下进程中执行代码。 微软目前已经收到研究人员的漏洞报告,但尚未发布补丁。
(来源:SecurityAffairs)
由加拿大公司开发的健身应用程序 PumpUp 将核心后端服务器托管在亚马逊云端,因配置不当而泄露信息。任何人无需密码即可实时获取其用户的登录记录、健康信息和私人消息。 这台服务器原本充当消息传递代理,可以将用户请求和私人消息发到该应用的其他用户。这个代理使用的是不常见的 MQTT 协议,为暂时性协议,结果导致任何人都能看到实施数据流。目前,这个服务器已经收到安全保护。
(来源:Freebuf)
近9万名客户数据被窃
据国外媒体报道,蒙特利尔银行和加拿大帝国商业银行周一表示,网络攻击者可能窃取了近9万名客户的数据,这似乎是该国金融机构首次遭受重大攻击。加拿大第四大银行蒙特利尔银行( bank of monterlial )周一表示,欺诈者周日联系了该行,称他们掌握了该行有限数量客户的个人和财务信息。该行发言人表示,该行相信,在加拿大全国800万客户中,不到5万人遭到黑客攻击。他拒绝透露是否有顾客因为这次袭击而损失了钱。
(来源:cnBeta)
共计修复34处安全漏洞
Google正式放出了Chrome 67稳定版,目前已经面向Windows、Mac和GNU/Linux平台开放下载。Chrome 67版本中,Google继续推进Site Isolation功能来提升Chrome浏览器的整体安全性能,降低和保护用户不受安全漏洞的影响。Chrome 67稳定版共计修复了34处安全漏洞,涵盖Blink引擎中的 use-after-free攻击漏洞和类型混乱漏洞,2个Skia图形引擎中的Heap Buffer溢出漏洞,indexedDB组件中的use-after-free攻击漏洞和WebRTC中内存访问漏洞。
(来源:cnBeta)
欧洲刑警组织欧洲网络犯罪中心(EC3)内新成立的“暗网调查小组”是欧洲刑警组织的一项倡议的结果,该倡议“建立一种协调的执法办法,以对付暗网上的犯罪”。执法机构指出,世界各地犯罪组织和个人非法活动的许多重要市场都在黑暗网络上托管。这些地下市场为罪犯提供了肥沃的环境,因为它们提供了匿名买卖的可能性。
(来源:SecurityWeek)
日前,有记者调查发现有很多网友发布关于二手手机信息泄露的帖子,认为是二手手机收购商及维修商“监守自盗”的而导致信息泄露。调查发现,网上有收售二手手机、电脑的贩子以一毛钱一条的价格打包出售机主信息。而在二手手机交易和手机维修市场中,很多维修商称只需花几十元就能恢复手机通讯录、照片、微信聊天记录等,哪怕手机被恢复到出厂设置,也可以将删除的信息复原。专家表示,要想手机信息不被泄露,通常需要从硬件安全和软件安全两方面去解决。“硬件安全就是外界所说的用水泡或者将手机砸烂。但这种方式无论从环保性还是经济性而言,成本太高。”软件安全,则是用户为了规避隐私风险,在出售手机前可以通过第三方粉碎软件将所有个人信息删除粉碎,同时需要解除手机上涉及网络支付的所有软件绑定。
(来源:凤凰网)
先敌防御构筑安全
近日,工信部发布《2018年第一季度网络安全威胁态势分析与工作综述》,报告显示第一季度共监测各类网络安全威胁约4541万个,网络安全威胁态势呈现以下特点:底层硬件漏洞波及广修复难,共享类应用涉嫌危害用户信息,工控系统漏洞增长明显,黑客入侵篡改仍有发生。报告显示,第一季度,共发生30起黑客组织篡改网页并张贴反动标语的事件,包括企业网站被篡改事件19起,事业单位网站被篡改事件9起,政府机关网站被篡改事件2起。与2017年第一季度情况相比,总体数量相等,企事业单位网站被篡改的事件数量增长约155.6%,政府机关网站被篡改的事件数量减少约80%。
(来源:环球网)
