各位Buffer早上好,今天是 2018 年 9 月 13 日星期四,农历八月初四。今天的早餐铺内容有:微软与 Adobe 发布多个安全更新;谷歌发布 Chrome 安全更新,取消网址的“安全”标识;瑞士数据管理公司 Veeam 泄露 4.45 亿条用户数据;僵尸网络 Mirai 和Gafgyt 最新变种目标瞄准企业网络;Edge 与 Safari 浏览器存在安全风险,合法 URL 可被注入恶意内容;江苏一高校2000多学生信息遭泄露,疑被企业用于偷逃税款。
以下请看详细内容:
微软与 Adobe 发布多个安全更新
微软在 9 月 的修复日一共修复了 61 个漏洞,其中 17 个评级为严重,43 个评级为重要,1 个评级为普通。修复的产品包括 Windows、Edge、IE浏览器、Office、ChakraCore、.NET Framework、Microsoft.Data.OData、ASP.NET 等。在补丁发布之时,只有四个是已经“公开通知”的,其余漏洞则很可以已经在野利用。在 17 个严重漏洞中,Windows RCE 漏洞(CVE-2018-8475)、Windows ALPC 提权漏洞(CVE-2018-8440)、Scripting Engine 内存崩溃漏洞(CVE-2018-8457)以及 Windows Hyper-V 中的两个严重远程代码执行漏洞影响较大,用户应尽快修复。
同时,Adobe 共修复了 Flash 播放器和 ColdFusion 中的 10 个漏洞,其中有 6 个为高危,可被攻击者利用实现远程执行任意代码。[来源:thehackernews]
瑞士数据管理公司 Veeam 泄露 4.45 亿条用户数据
近日,安全研究人员在网上发现了一个公开的数据库,其中存储着超过 200 G 的数据,但没有任何安全防护。200 G 的内容包含瑞士智能数据管理服务商 Veeam 的大量用户信息,包括姓名、邮箱地址、居住国等。此外,市场份额、用户类型、企业规模、IP 地址、用户代理等企业信息也暴露无余。数据具体暴露的时间尚不清楚,但研究人员表示,自己 9 月 5 日才发现该数据库,而存储数据库的服务器 IP 在 8 月 31 日就已经有人搜索。目前 Veeam 已经发布公告,正在调查事件详情。[来源:bleepingcomputer]
谷歌发布 Chrome 安全更新,取消网址的“安全”标识
谷歌发布了 Chrome 69.0.3497.92 最新版本,适用于 Windows、MAC、Linux 等系统。新版本修复了一些漏洞,并取消了网址前的“安全”标识。Chrome 69 将不会再特地将HTTPS网站标记为“安全”,而是改在采用HTTP标准协议的网站旁标注“不安全”。这么做的目的是让用户了解不安全的网站,从而进一步推进全网加密。随着Chrome 70即将在10月份发布,当用户输入数据时,HTTP 站点将显示一个红色的“不安全”警告。[来源:us-cert]
僵尸网络 Mirai 和Gafgyt 最新变种目标瞄准企业网络
Palo Alto Networks 公司旗下 Unit 42 威胁研究团队在 9 月 9 日发布的一篇博文中指出,他们发现臭名昭著的物联网僵尸网络 Mirai 和 Gafgyt 的新变种。新的 Mirai 变种针对的是与 2017 年 Equifax 数据泄露事件相关的 Apache Struts 漏洞,而新的 Gafgyt 变种针对的是一个最近才被公开披露的漏洞,该漏洞会影响到不再受支持的旧版 SonicWall 全球管理系统(GMS)。Unit 42 团队发现,Mirai 和 Gafgyt 这些物联网僵尸网络已经将目标从普通用户转向企业用户,造成 DDoS 等威胁。[来源:bleepingcomputer]
Edge 与 Safari 浏览器存在安全风险,合法 URL 可被注入恶意内容
#p#分页标题#e#
安全研究员发现 Edge 和 Safari 浏览器中存在漏洞,可被利用向合法 URL 中注入恶意内容。攻击者利用这个漏洞,可以上传合法页面,让页面地址隐藏到“URL”导航栏中并替换代码 ,同时原版的 URL 的原地址不会更改,依然显示正常。随后,攻击者会创建虚假登录页面或其他论坛,用于搜集用户的用户名、密码和其他数据。目前,微软已经修复了 Edge 浏览器的漏洞,而苹果经过一段时间依旧没有修复。[来源:theregister]
江苏一高校2000多学生信息遭泄露,疑被企业用于偷逃税款
据中国之声《新闻纵横》报道。又是一年开学季,不少准毕业生为找工作忙的是焦头烂额,发出了毕业即失业的感叹,然而江苏常州大学怀德学院的部分学生却恰恰相反,没有找到工作的他们却发现自己“被就业”了。
近日,有网友在社交媒体发布消息称,江苏常州大学怀德学院发生大规模学生信息泄露事件,上千名学生信息被不法企业盗用。记者调查发现,泄露信息的学生人数超过2600名,企业涉及省内多地,信息疑被企业用于偷逃税款。
记者从靖江市公安局得知,在接到怀德学院学生报警后,靖江警方高度重视,立即启动重大案件侦查机制,迅速对案件立案调查。目前,专案组正在调查取证,调查进展将及时向社会公布。[来源:新华网]