东城渐觉风光好。縠皱波纹迎客棹。绿杨烟外晓寒轻,红杏枝头春意闹。
各位 Buffer 早上好,今天是 2018 年 3 月 15 日星期四、“国际消费者权益日”。大家有关于产品安全或隐私的问题想吐槽吗?先吃早餐再聊吧。今天的 BUF 早餐内容主要有:微软周二修复 74 个安全漏洞,Adobe 修复严重漏洞;Samba 发布新版本,修复两个严重漏洞;AMD 出现 13 个严重漏洞,影响 Ryzen 和 EPYC 系列处理器;远程桌面协议出现 CredSSP 漏洞,影响所有版本的 Windows;到 2020 年,约 90% 的企业都会使用生物认证技术;全国政协委员谈剑锋:建议加大网络安全产业投入。
以下请看详细内容:
【国际时事】 微软周二修复 74 个安全漏洞,Adobe 修复严重漏洞3 月份微软修复日共修复了 74 个漏洞,涉及 IE 浏览器、Edge 浏览器、Windows、微软 Exchange 服务器、ASP.NET Core、.NET Core、PowerShell Core、ChakraCore、Office 和 Office 的服务及 Web App 等产品。本月微软修复的所有漏洞都不是 0-day,且其中两个漏洞 CVE-2018-0808 和 CVE-2018-0940 都已经众所周知,不过在补丁发布前,并未检测到攻击者利用这个漏洞。
本月,Adobe 修复的漏洞包括 Flash 播放器中两个严重的远程代码执行漏洞(CVE-2018-4919 和 CVE-2018-4920)以及 Dreamweaver CC 中的操作系统命令注入漏洞.[来源:bleepingcomputer]
Samba 发布新版本,修复两个严重漏洞Samba 是一款广受欢迎的软件。使用 SMB/CIFS 协议的用户可以使用 Samba 安全且快速的文件与打印服务,还可以实现 GNU/Linux 或 Mac OS X 系统与 Windows 系统共享文件夹、文件、打印机。近日,Samba 项目维护者发布了 Samba 新版本,修复了两个严重漏洞。没有特权的攻击者可利用这个漏洞,针对服务器发起 DoS 攻击,并更改任意用户(包括管理员)的密码。
第一个是 DoS 漏洞(CVE-2018-1050)是由于缺少对某些参数的输入清理检查而造成的,会影响 Samba 4.0.0 及以后的所有版本。如果 PC Spoolss 服务被配置为外部保护服务而运行,那么就可能会被攻击者利用。
第二个漏洞(CVE-2018-1057)是由于 Samba 在用户申请通过 LDAP 修改密码时没有正确验证请求是否有效。这个漏洞影响 Samba Active Directory DC、所有版本的 Samba’s AD DC 以及 Samba 4.0.0alpha13 之后的发行版本。
建议管理员尽快升级更新,也可查看 Samba 安全更新页面了解详情。[来源:Securityaffairs]
【漏洞攻击】 AMD 出现 13 个严重漏洞,影响 Ryzen 和 EPYC 系列处理器周二,以色列安全公司 CTS Labs 披露 AMD 中出现了 13 个漏洞,分为 RyzenFall、MasterKey、Fallout 和 Chimera 四类,影响 Ryzen 和 EPYC 系列处理器。利用这些漏洞,攻击者可以获得对系统的全部控制权,同时从 AMD CPU 的安全区域提取数据。这与之前的 Meltdown 和 Spectre 漏洞相似。
MasterKey 系列的 3 个漏洞会对硬件造成物理损伤,影响 EPYC、Ryzen、Ryzen Pro 和 Ryzen Mobile。在 EPYC 和 Ryzen 中已被利用。RyzenFall 1 号漏洞和 Fallout 1 号漏洞可以窃取网络凭证,绕过包括 Windows Credential Guard 在内的微软 VBS,影响 EPYC、Ryzen、Ryzen Pro 和 Ryzen Mobile,并在这些产品中被成功利用。RyzenFall 和 Fallout 2 号漏洞会让系统的安全管理 RAM 读/写保护功能失效。影响 EPYC、Ryzen 和 Ryzen Pro。不影响 Ryzen Mobile。RyzenFall 和 Fallout 3 号漏洞可以窃取网络凭证,读取 VTL1 内存中的机密信息,绕过 Windows Credential Guard。RyzenFall 4 号漏洞可以窃取网络凭证,绕过包括 Windows Credential Guard 在内的微软 VBS,影响 Ryzen 和 Ryzen Pro,并在这些产品中成功利用。Chimera 漏洞主要存在于固件和硬件中,在芯片中运行,可利用芯片的特殊位置作为中间人,攻击硬件外围设备。影响 Ryzen 和 Ryzen Pro,并在这些产品中成功利用。[来源:bleepingcomputer]
远程桌面协议出现 CredSSP 漏洞,影响所有版本的 Windows #p#分页标题#e#RDP 和 WInRM 中使用的 CredSSP 协议(安全加密 Windows 用户远程登录过程)中出现严重漏洞,影响所有版本的 Windows。远程攻击者额可以利用这个漏洞,使用 RDP 和 WinRM 窃取数据并运行恶意代码。这个漏洞由网络安全公司 Preempt Security 发现,编号为 CVE-2018-0886,是一个逻辑加密漏洞,可被中间人攻击者利用,通过 WiFi 或物理接触网络来窃取 session 认证数据,发起远程进程调用攻击。
如果用户和服务器通过 RDP 和 WinRM 连接协议进行认证,中间人攻击就能执行远程命令,入侵企业网络。而由于 RDP 是远程登录中最常用的应用,几乎所有企业用户都在使用,因此,这个漏洞可造成大范围影响。目前,微软已经发布相关更新补丁,用户应尽快下载更新,同时可以禁用 RDP 等相关应用端口,尽可能少使用特权账户,多使用非特权账户。[来源:Thehackernews]
【行业动态】 到 2020 年,约 90% 的企业都会使用生物认证技术国外公司 Spiceworks 近期发布一项调查报告,称到 2020 年,90% 的企业将会采用生物认证技术。这份调查针对北美和欧洲的 500 多名受访者,主题围绕目前发展迅速的生物认证技术。结果发,62% 的受访者已经采取了不同形式的生物认证,24% 的受访者表示未来两年内将采用生物认证技术。
不过,虽然大部分人认为生物认证比密码、PIN、和个人验证问题更加安全,但是也有人对此表示担忧。仅有10% 的受访者认为只使用生物认证这一种验证方式就足够保障安全。大部分情况下,人们采用的还是多因素验证方法。
目前为止,指纹验证是最常用的生物认证方式(57%),人脸识别排第二(14%),其他的还有手部姿势识别(5%)、虹膜扫描(3%)、语音识别(2%)和手掌静脉识别(2%)等。此外,企业组织最常在智能手机上进行生物认证(46%)、其次是笔记本电脑(25%)和平板设备(22%)等。
很多 IT 专家认为,在未来两到三年内,生物认证还不会完全替代文本密码,但依然会成为比较重要的验证方式。[来源:infosecurity]
【国内新闻】 全国政协委员谈剑锋:建议加大网络安全产业投入全国政协委员、上海众人网络安全技术有限公司董事长谈剑锋在接受经济日报-中国经济网记者采访时表示,建议加大网络安全产业的投入,推动国家整体的网络安全产业创新发展。
谈剑锋指出,信息化时代,网络安全产业并非孤立存在。维护网络安全就是守护国家安全,需要自主、健康发展的网络安全产业来支撑,才能避免受制于人。
谈剑锋认为,为促进我国的网络安全产业的健康发展,侧重对需求和产业的科学规划,电子政务系统应率先增加网络安全投入,多方面促进产业发展,及早形成正向外部性效应。他建议,从战略层面实现网络安全的体系化、层次化及标准化设计;制定积极、主动的网络安全产业发展政策;在信息化采购中增加信息安全产品和服务的比例,拉动自主产业发展。
#p#分页标题#e#此外,谈剑锋还建议支持民营IT企业投入“一带一路”数字经济建设。他指出,企业是“一带一路”建设的实施主体,而民营企业更是其中不可缺少的中坚力量。在“一带一路”企业影响力前10名榜单中,民营IT企业占据三席;以华为、中兴为代表的网络设备商,以小米、OPPO、vivo为代表的智能手机厂商等,构建出了一个颇具市场竞争力的完整生态系统,已具备初步的技术与服务输出能力。建议鼓励企业创新建设,打造包容多元的国际企业;完善数字支撑平台,着力消除信息不对称壁垒;灵活资源配置利用,开辟创新型的投融资渠道。[来源: 新浪新闻]
上海警方开展净网2018行动:集中打击侵犯公民个人信息,铲除网络“黑产”“黑市”根据公安部统一部署,自即日起至12月底,上海警方将开展“净网2018”专项行动,集中清理整治和查处网上违法信息,集中侦破一批侵犯公民个人信息和黑客攻击案件,打掉一批违法犯罪链条和源头。
日前,上海网安部门组织全市30家重点网站、网络服务商、信息服务商和联网单位集中签订安全责任承诺书,督促指导互联网企业落实信息安全管理责任。
根据承诺书的要求,相关互联网企业要及时发现和清理 “黑拐骗”、黑客攻击破坏、买卖公民个人信息等违法犯罪信息,进一步落实防范、发现、处置和报告违法信息等责任。
承诺书还要求相关互联网企业重视保护公民个人信息,加强对移动互联网应用、网络域名交易和网络流量租赁等领域的安全监督和检查,在APP、网站、网店、群主、博主、自媒体等领域建立用户实名身份核验机制,推行“实人实证实名”认证制度。加强管理规范和标准建设,根据法律法规要求和网络应用服务类别,逐项完善并监督落实网络安全管理规范,铲除网络“黑产”、“黑市”的滋生土壤和生存空间。
同时,上海警方将集中开展网上违法信息清理整治和查处工作。依法从严打击传播淫秽等信息的违法犯罪行为,对现有视频节目开展地毯式排查,坚决清理各类违法信息。
2017年,上海警方共摧毁贩卖公民个人信息犯罪团伙50余个。在这些案件中,企事业单位内部人员违法操作贩卖和黑客利用非法手段攻击盗取已成为公民信息泄露的主要途径。
“净网2018”专项行动中,上海警方将按照“快侦快破”原则,集中侦破一批案件,集中打掉一批违法犯罪链条和源头。对黑客攻击破坏案件,严打制作传播恶意程序、倒卖网络流量、以及为网络犯罪提供推广、支付等服务的平台和团伙,坚决斩断利益链条。对侵犯公民个人信息犯罪,坚决捣毁窃取、贩卖公民个人信息的公司、平台,坚决打击窃取、贩卖公民个人信息的企事业单位内部人员。