无声信息一周安全资讯:英特尔公布Spectre漏洞新变体Lazy State

目 录

·英特尔公布Spectre漏洞新变体Lazy State

·弹幕视频网AcFun受黑客攻击 近千万条用户数据外泄

·Google 计划移除使用远程网站安装chrome插件的功能

·Trik 垃圾邮件僵尸网络泄露 4300 万邮箱地址

·微软 6 月修复 50 个漏洞,其中 11 个为高危

·苹果macOS系统曝出存在长达11年的安全漏洞

·加拿大推出新版国家网络安全战略

英特尔公布Spectre漏洞新变体Lazy State

英特尔公开披露了Spectre漏洞的新变体Lazy State,将会影响其旗下的多款处理器产品。该漏洞被称为Lazy State,并被识别为CVE-2018-3665。该漏洞可能会使攻击者获取有关应用活动的信息,包括加密内容。据悉,该漏洞不会影响AMD处理器。

(来源:Freebuf)

弹幕视频网AcFun受黑客攻击

近千万条用户数据外泄

6月13日,弹幕视频网AcFun发布公告称,受黑客攻击,近千万条用户数据外泄,其中包含用户ID、用户昵称、加密存储的密码等信息。14日,黑客在地下论坛发帖称出于A站客服态度诚恳,以及对于二次元世界的热爱,决定无条件删除数据库。并还表示,从来没有把数据库出售给任何一个人,对于此前公布的300名用户的信息,他们也表示抱歉。

(来源:新浪科技)

Google 计划移除使用远程网站安装chrome插件的功能

Google 今天宣布将逐步取消在远程网站上安装Chrome扩展程序(即“内联安装”)的选项。这意味着到年底,用户只能从各自的Chrome网上应用店列表中安装新的Chrome扩展程序。 过去几年,内联安装功能被攻击者滥用,诱导用户安装恶意扩展程序,造成不良影响。由于用户从第三方安装,没有访问过 Chrome 网上应用商店列表,就看不到有关这些扩展程序的负面评论,所以无法判断这些插件是好是坏。 新计划分三阶段: 从今日起,所有新插件都无法通过“内联安装”获取,且 6 月 12 日以后首次发布的插件如果要调用“chrome.webstore.install() ”函数,会自动重定向到 Chrome Web Store 来安装; 2018 年 9 月 12 日开始,Chrome 扩展程序会完全无法使用“内联安装”功能,用户会直接被重定向到 Chrome Web Store 完成安装; 2018 年 12 月上旬,Chrome 71 会彻底移除“内联安装”API。

(来源:bleepingcomputer)

Trik 垃圾邮件僵尸网络泄露 4300 万邮箱地址

Vertek 公司的一位威胁情报分析师在研究最近发布的 Trik 木马版本时,发现 Trik 垃圾邮件僵尸网络的服务器存在泄露情况。由于幕后攻击中而配置错了服务器,导致任何人都可以直接访问 IP,进而获取存储信息。 这台服务器上一共有 2201 个文本文件,按照 1.txt 到 2201.txt 顺序标记,每个文件包含大约 20,000 份电子邮件地址信息,总量超过 4300 万。研究人员认为,该服务器的运营商一直在使用这些收件人列表来为其他攻击者提供服务,以便通过恶意垃圾邮件分发各种恶意软件。

(来源:bleepingcomputer)

微软 6 月修复 50 个漏洞,其中 11 个为高危

微软 6 月的修复日总共修复了 50 个漏洞,涵盖 Windows、IE 浏览器、Edge 浏览器、MS Office、微软Exchange Server、ChakraCore 以及 Adobe Flash Player 等产品。这些漏洞中有 11 个为高危,且只有一个漏洞(远程代码执行漏洞 CVE-2018-8267)被公开过,其他漏洞均未被利用。 最严重的漏洞包括 CVE-2018-8267、CVE-2018-8225、CVE-2018-8231、CVE-2018-8213 等,都是远程代码执行漏洞,主要影响 Windows 系统。用户可直接打开设置,选择“更新和安全”选项,选择 Windows 更新、检查并安装更新。

(来源:TheHackerNews)

苹果macOS系统曝出存在长达11年的安全漏洞

来自身份管理软件公司Okta的研究与开发工程师 Josh Pitts在上周二(6月12日)公开披露了一个在苹果macOS系统中存在了长达11 年之久的安全漏洞,该漏洞可能使得恶意软件能够更容易地绕过安全检查,并导致数百万苹果用户更加容易遭受黑客攻击。

Pitts表示,他在第三方安全产品对代码签名API的解释中找到了一个旁路,使未签名的恶意代码看起来像是由苹果官方签署的。这意味着,某些安全产品可能会因遭受“欺骗”而误以为恶意软件是由苹果签署的,进而允许恶意软件绕过其检测,从而感染用户设备。

可能遭受“欺骗”的几款第三方安全产品包括:Little Snitch、F-Secure xFence、VirusTotal、Google Santa和Facebook OSQuery。这个漏洞最早可以追溯到2007年推出的OS X Leopard 系统,并且至今一直存在。对苹果用户来说,相对而言较好的消息是,漏洞仅会影响到macOS和OSX的旧版本。

(来源:黑客视界)

加拿大推出新版国家网络安全战略

2018年6月12日,加拿大发布了该国的新版国家网络安全战略。新版国家网络安全战略提出,将新建一个清晰可信的国家权威机构——网络安全中心,整合现有网络业务,为政府部门、关键基础设施运营商以及公共和私营部门提供专家咨询和服务,以加强该国的网络安全。这份战略提出,将在加拿大皇家骑警队(RCMP)设立一个新的国家网络犯罪协调部门,以支持和协调加拿大各地警察部队之间的网络犯罪调查。加拿大还将开展一个新的自愿网络认证计划,该计划将罗列出帮助企业了解和应对网络威胁的最佳实践,通过这种方式来增强企业的网络安全弹性。

(来源:E安全)

关注微信
  • 关注我们
微博
电子邮箱
  • marketing@silence.com.cn
联系电话