无声信息一周安全资讯:Windows 10 的快捷方式功能可被利用执行恶意代码

目 录

·Windows 10 的快捷方式功能可被利用执行恶意代码

·新漏洞 RAMpage 曝光:可影响 2012 年以来几乎所有安卓设备

·WordPress 被曝未修复的漏洞

·美国大数据公司失误泄露 2TB 隐私信息:涉 2.3 亿人

·浙江破获新型网络犯罪:嫌疑人控数十万网吧电脑挖矿

·老人机自带“李鬼”微信,竟是黑客为厂家定制

·Facebook 承认向 61 家公司提供用户数据特殊访问权限

·加州通过数据隐私法案 增强用户对信息控制权

·Wi-Fi 联盟宣布新的 WPA3 安全标准

·中小企业将钓鱼列为首要攻击威胁

01

Windows 10 的快捷方式功能可被利用执行恶意代码

SpecterOps的安全研究员表示,Windows 10 中用于添加快捷方式的文件格式“SettingContent-ms”存在安全问题,可能会被用户滥用,执行恶意代码。SettingContent-ms 文件都是 XML 文档,包含一个标签,用于指定用户双击快捷方式时打开的 Windows 10 设置页的磁盘位置。研究人员发现,可以用本地系统中的任何其他可执行文件替换这个 DeepLink 标记。因此,攻击者可以利用恶意可执行文件,嵌入到 Office 文档中并绕过 ASR 安全功能,在系统上实现恶意代码执行。

(来源:bleepingcomputer)

02

新漏洞 RAMpage 曝光:可影响 2012 年以来几乎所有安卓设备

自2012年以来的几乎所有Android设备可能被名为RAMpage的新漏洞的影响,该安全漏洞标记号为CVE-2018-9442,是数年前曝光的Rowhammer攻击的一个变种。RAMpage 是一套影响最新安卓系统的基于DMA的Rowhammer攻击,包括一个root漏洞利用,以及可绕过全部防御措施的一系列应用利用场景。此前曝光的Rowhammer利用了DRAM物理内存卡硬件弱点,实现比特翻转攻击,利用硬件弱点而不是Android漏洞让一个没有权限的应用获得了设备的Root权限,影响大量Android设备,修复这个漏洞非常困难。

(来源:cnBeta)

03

WordPress 被曝未修复的漏洞

RIPS 的安全研究人员曝光了 WordPress 中一个没有修复的漏洞,对所有版本的 WordPress 都有影响。该研究人员表示,去年 11 月份他们已经向 WordPress 告知了这个漏洞,但 WordPress 开发者一直没有发布补丁。 这个漏洞主要影响 WordPress CMS 的内核。有权访问编辑器的用户可以利用这个漏洞上传或删除图片,进而在网站中插入恶意代码。不过只有特定级别(如作者或更高级别)的用户才能利用此漏洞,因此降低了漏洞严重程度。目前,用户可以通过热更新来修复这个漏洞。

(来源:bleepingcomputer)

04

美国大数据公司失误泄露 2TB 隐私信息:涉 2.3 亿人

6月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。Exactis采集了大约3.4亿条记录,大小2TB,可能涵盖2.3亿人,几乎是全美的上网人口。Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击,而是他们自己的服务器没有防火墙加密,直接暴露在公共的数据库查找范围内。虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息,但是隐私深度却超乎想象,包括是否吸烟、宗教信仰、是否养狗或养猫以及各种兴趣,如潜水和大码服装,这几乎可以帮助构建一个人的几乎完整“社会肖像”。目前,Exactis已经对数据进行了加密防护。在其官网,Exactis号称服务2.18亿独立用户,总计收集了超过35亿条商业、消费者和数字信息。

(来源:快科技)

05

浙江破获新型网络犯罪:嫌疑人控数十万网吧电脑挖矿

利用维护网吧电脑之机,暗中在电脑植入特殊程序“挖崛”网络货币,程序控制方则在背后“抽水”分成牟取利益。全国30多个城市数十万台网吧计算机被幕后黑手“挟持”用于“挖矿”,涉案金额高达510万元左右,被公安部列为挂牌督办案件。浙江省温州瑞安市警方经过半年艰苦侦查,转战全国多个省市开展专案攻坚,最终成功抓获犯罪嫌疑人16名,将该特大新型网络犯罪团伙彻底摧毁。近日,16名涉案人员分别因涉嫌提供非法控制计算机信息系统的程序、工具罪和非法控制计算机信息系统罪被瑞安警方依法移送起诉。

(来源:CnBeta)

06

老人机自带“李鬼”微信,竟是黑客为厂家定制

有些老人机自带的微信软件居然是没有得到授权的“李鬼”版微信。近日江苏常州检方依法批准逮捕了一起“李鬼”微信案件的犯罪嫌疑人。今年初,市民陈女士发现自己手机里的“微信”隔三岔五冒出一些二手车和海外代购的小广告。微信官方客服表示,他们接到全国不少用户的类似反馈,经核实,这些广告并非微信官方推送,也就是说,陈女士手机上的“微信”并非正版,软件的加密网络传输协议被人破解。

(来源:新华网)

07

Facebook 承认向 61 家公司提供用户数据特殊访问权限

Facebook承认,即使在2015年宣布限制对用户以及用户好友的访问后,它仍然允许61家公司访问用户数据,它“一次性”给予AOL、耐克、UPS和约会应用Hinge等公司6个月时间,使它们有时间适应公司在用户数据方面政策的修改。Facebook称,另外,至少其他5家公司可能访问了有限的用户数据,原因是Facebook在一次试验中授予了它们数据访问权限。

08

加州通过数据隐私法案 增强用户对信息控制权

美国加州签署了一项数据隐私法案,目的是让用户对公司收集和管理个人信息的方式有更多控制权。根据立法草案,从2020年开始,掌握超过5万人信息的公司必须允许用户查阅自己被收集的数据,要求删除数据,以及选择不将数据出售给第三方。公司必须依法为行使这种权利的用户提供平等的服务。每次违法行为将被处以7500美元的罚款。这项措施将影响几乎所有大企业,尤其是在网络通信和商业中扮演越来越重要角色的大型科技公司。

09

Wi-Fi 联盟宣布新的 WPA3 安全标准

包括苹果、思科、英特尔、高通和微软等科技巨头在内的 Wi-Fi 联盟正式推出了新的 Wi-Fi 安全标准 WPA3。这个标准将解决所有已知的、会影响重要标准的安全问题,同时还针对 KRACK 和 DEAUTH 等无线攻击给出缓解措施。 WPA3 为支持 Wi-Fi 的设备带来重要改进,旨在增强配置、加强身份验证和加密等问题。重要改进主要包括:防范暴力攻击、WAP3 正向保密、加强公共和开放 Wi-Fi 网络中的用户隐私、增强对关键网络的保护。据了解,这项新协议可以在个人,企业和物联网无线网络的个人和企业模式下运行。

(来源:SecurityAffairs)

10

中小企业将钓鱼列为首要攻击威胁

近日,一份针对 600 名中小企业管理者的调查显示,几乎所有中小企业都对员工展开了安全意识培训,因为他们担心针对员工的钓鱼攻击会给企业带来严重威胁。其中,美国、英国和澳大利亚最为重视企业网络安全,相应地,他们的预估违规成本也在下降。调查显示,48% 的受访者认为网络钓鱼攻击是最重要的威胁,45%的受访者表示他们的业务易受 DNS 攻击。总体来说,原本占据第一的新型恶意软件跌至第六位,落后于分布式拒绝服务(DDoS)和移动攻击。勒索软件从2017年的第五位上升到2018年的第三位,不过这也因地理位置而异。

(来源:infosecurity)

关注微信
  • 关注我们
微博
电子邮箱
  • marketing@silence.com.cn
联系电话