各位Buffer早上好,今天是2018年7月12日星期四,农历五月廿七。今天份的BUF早餐内容主要有:微软7月补丁修复15个产品的53个漏洞;幽灵安全漏洞Spectre 1.1新变种曝光;京东回应斐讯事件严禁0元购宣传推广;全网超3万网站内置挖矿代码。
安全资讯早知道,两分钟听完最新安全快讯~
【漏洞】
微软7月补丁修复15个产品的53个漏洞
近日,微软发布了2018年7月安全补丁,其中包括53个漏洞安全更新,这些漏洞影响了Windows、Internet Explorer(IE)、Edge、ChakraCore、.NET Framework、ASP.NET、PowerShell、Visual Studio、Microsoft Office和Office Services及Adobe Flash Player。
据悉,在这53个漏洞中,17个被评为严重,34个高危,1个中危,1个低危。
17个严重漏洞:
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8242)
Edge Memory Corruption Vulnerability (CVE-2018-8262)
Edge Memory Corruption Vulnerability (CVE-2018-8274)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8275)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8279)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8280)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8283)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8286)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8288)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8290)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8291)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8294)
Scripting Engine Memory Corruption Vulnerability (CVE-2018-8296)
Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8298)
Microsoft Edge Memory Corruption Vulnerability (CVE-2018-8301)
Microsoft Edge Information Disclosure Vulnerability (CVE-2018-8324)
PowerShell Editor Services Remote Code Execution Vulnerability (CVE-2018-8327)
[thehackernews]
幽灵安全漏洞
Spectre 1.1新变种曝光
来自麻省理工的 Vladimir Kiriansky 和咨询公司 Carl Waldspurger 的两位安全研究人员,刚刚发布了一篇揭露臭名昭著的“幽灵”(Spectre)安全漏洞新变种的论文,因其会产生投机性的缓冲区溢出。论文中,两人解释了他们新发现的这个变种(Spectre 1.1 / CVE-2018-3693)可以如何攻击和防御。
对于处理器厂商来说,年初被曝光的该漏洞、以及后续陆续出现的多个其它变种,着实令业界感到头疼。而最新的 Spectre 1.1 漏洞,则利用了投机性的缓冲区溢出。
[softpedia]
【Web安全】
全网超3万网站内置挖矿代码
据区块律动Block Beats的统计,在全球排名前1万的网站中,有2.2%的网站植入了恶意挖矿代码;截至7月9日,全网有超过3万家网站内置了挖矿代码,只要用户打开网站进行浏览等操作,相关代码便会调用设备资源进行挖矿。
而根据Adguard的数据统计,全球约有5亿台电脑曾被绑架挖矿。
当浏览的网站进行挖矿时,电脑或者手机会莫名其妙发烫,所以,当自己的设备经常会出现这种情况的时候,就得好好思考下会不会是浏览的网站出现问题了。
[IT之家]
【国内资讯】
京东回应斐讯事件严禁0元购宣传推广
斐讯0元购合作方联璧金融被查后,大量0元购的用户今日赴京东总部维权。
京东对此回应称:
京东仅是斐讯硬件产品的销售平台,从未与斐讯相关的互联网金融平台联璧金融存在任何形式的合作,也从未引导消费者至该平台进行投资理财。
京东表示,由于斐讯“0元购”的参与方联璧金融已经被公安部门立案调查,京东将会配合相关部门督促斐讯妥善解决好用户投诉及售后问题,最大可能避免消费者的损失。