内容转载

= ̄ω ̄= 内容转载

甲骨文例行更新修复了 301 个安全漏洞 包含 45 个严重漏洞

甲骨文(Oracle)于本周进行了每季度的例行重要补丁更新(Critical Patch Update,CPU),修复了 301 个安全漏洞,其中有 45 个被列为严重(Critical)等级,在 CVSS 漏洞评分系统上达到 9.8 分,最严重的 CVE-2018-2913 为 10 分。 本周的修复更新涉及到甲骨文旗下的十多款产品,覆盖了 E-Business Suite、Fusion Middleware、Oracle MySQL、Communications、Hospitality、Retail、Java SE 及 PeopleSoft 等。其中漏洞最多的产品为 Fusion Middleware,总共修复了 65 个相关漏洞。其他依次是 Oracle MySQL 的 38 个、Retail 的 31 个与 PeopleSoft 的 24 个。本次甲骨文只修复了 Java SE 上的 12 个漏洞,有 11 个可通过远程进行利用。这是甲骨文 2018 年的最后一次修复更新,也让今年漏洞的总修复量达到了 1119 个。 被列为最高优先级需要修复的漏洞是 CVE-2018-2913 —— 影响了 Oracle GoldenGate,Oracle GoldenGate 是业内成熟的数据容灾与复制产品,也是基于日志的结构化数据复制备份软件。该漏洞属于堆栈缓冲区溢出漏洞,允许未经授权的黑客通过远程进行入侵。相关安全人士指出,相关攻击并不复杂,再加上攻击活动可通过远程执行且不需凭证,黑客还可通过它入侵 GoldenGate,从而影响企业中的其它产品,让情况更加恶化,呼吁企业谨慎对待该漏洞。 还有安全人士指出,甲骨文本季度所修复的 Java 漏洞绝大多数都是针对 Java 8 及更早的版本,只有少数的修复是针对 Java 9,Java 10 与 Java 11;此外,尽管甲骨文即将要在明年 1 月终止对 Java 8 的公开支持,但有大量的企业应用仍在使用 Java 8,如果不升级的话,这些企业未来可能会因此而陷入困境。 最后,甲骨文还是一如继往地鼓励用户立即更新产品,以防黑客利用这些已被公开的安全漏洞。   稿源:开源中国,封面源自网络;

3000 万用户隐私被泄露 FB 认为垃圾邮件制造者是推手

新浪科技讯 北京时间10月18日上午消息,据MarketWatch报道,知情人士透露,Facebook认为获取其3000万用户隐私信息的黑客其实是垃圾信息散布者,其目的是通过这些信息来投放欺诈广告谋利。 知情人士表示,这项初步发现认为,这些黑客并没有与任何国家机构存在关系。Facebook的安全团队从9月25日就开始展开调查,他们当时发现有人下载了这家社交网络的大量数字访问令牌。 该公司之前并未披露攻击的幕后黑手,只是称之为该公司历史上最大的安全事件。当他们最早宣布此次攻击时,Facebook高管表示可能永远无法确定黑客身份。 内部调查认为,此次攻击是一群Facebook和Instagram垃圾信息散布者所为,他们伪装成数字营销公司,但其之前的行为就已经被Facebook安全团队所知。Facebook之前曾经表示,他们正在配合美国联邦调查局对此展开刑事调查。   稿源:新浪科技,封面源自网络;

Alphabet 被投资者起诉 隐瞒 Google+ 隐私漏洞

新浪科技讯 北京时间10月17日晚间消息,谷歌母公司Alphabet日前因隐瞒Google+安全漏洞而被投资者告上法庭。同时,Alphabet CEO拉里·佩奇(Larry Page)和谷歌CEO桑达尔·皮查伊(Sundar Pichai)也成为被告。 原告在起诉书中称,Google+所曝出的安全漏洞影响用户的个人数据,尤其是将用户没有设置为公开的数据暴露在风险之中,但Alphabet高管却反复作出虚假和有误导性的声明。 该案件已交由加州北区地方法院审理。除了Alphabet,原告还将Alphabet CEO佩奇、谷歌CEO皮查伊和谷歌CFO鲁斯·波拉特(Ruth Porat)列为被告。如今,法院已向上述三位高管发出传票,他们有21天的响应时间。 谷歌上周一在公司博客中宣布,将关闭旗下社交网站Google+消费者版本。原因是,Google+在长达两年多时间里存在一个软件漏洞,导致最多50万名用户的数据可能曝露给了外部开发者。 据《华尔街日报》援引谷歌内部人士的话称,Google+的该漏洞使得外部开发人员可以在2015年至2018年3月间访问用户的Google+个人信息,包括用户姓名、电子邮件地址、出生日期、性别、个人资料照片、居住地、职业和婚姻状况等。 谷歌称,公司今年3月就已发现这个漏洞,并推出补丁加以修复。谷歌表示,没有证据表明用户数据被滥用,也并无证据表明任何开发者明知或利用了这个漏洞。 据《华尔街日报》报道,谷歌选择不对外公开该漏洞,部分原因是担心被监管审查。但事实上,谷歌似乎并未躲过此劫。到目前为止,至少有美国的两个州、以及欧盟的两个成员国对谷歌Google+泄露用户信息事件展开了调查。 根据谷歌的计划,Google+将于2019年8月关闭。业内人士称,此举是谷歌针对该漏洞所采取的一个安全措施,但同时也表明,Google+也是一款比较失败的产品,并未吸引太多的用户使用,其使用量远低于Facebook和Twitter。   稿源:新浪科技,封面源自网络;

美国中期选举将近 3500 万人资料泄漏 黑客:在政府有人

新浪科技讯 10月17日下午消息,据中国台湾地区媒体报道,随着美国中期选举即将于下个月展开,威胁情报业者Anomali Labs及网络安全业者Intel 471本周一联手揭露他们发现有人在某个黑客论坛中兜售美国19州的选民资料,其中3州的选民资料就高达2,300万人,估计总数将超过3,500万人,且根据研究人员的查证,这些资料的可信度很高。 每一州的选民资料价格不同,视州别及数量从150美元到12,500美元不等,例如路易斯安那州300万选民资料的价格为1,300美元,而德州的1,400万选民资料即要价12,500美元;资料内容包含选民的姓名、电话、地址及投票纪录等,卖家甚至承诺会每周更新资料。 根据卖家的说法,他们在州政府内部有人,可每周收到最新资料,有时还要亲自到该州取得资料。意谓着这些资料的外泄不一定是来自于技术上的入侵,而很可能是有心人士自合法管道取得选民资料后恶意进行的散布。 不管资料来源如何,暗网中已经有人发动众筹来购买这些名单,并打算于黑客论坛上公布所购得的选民资料,已成功集资200美元,买下了堪萨斯州选民名单,亦已开放论坛用户下载。 研究人员指出,选民名单应是不能用在商业目的,也不得在网络上公布,却有未经授权的组织企图利用这些名单获利,选民名单曝光的选民资料再加上诸如社会安全码或驾照等外泄资料,可能会被犯罪份子用来进行身分诈骗或其它非法行为。   稿源:新浪科技,封面源自网络;

FB 泄露 300 万欧洲用户资料 GDPR 大考:如何处罚?

网易科技讯 10月17日消息,据CNBC报道,美国当地时间周二,爱尔兰数据保护委员会(IDPC)证实,约有300万欧洲用户受到9月份Facebook安全漏洞的影响,用户的个人信息可能被窃取。 这一安全漏洞预计将是对欧洲新生效的《通用数据保护条例》(GDPR)的首次重大考验,受影响的欧洲用户数量可能有助于确定针对该公司施行处罚的严重程度。根据GDPR的规定,处理欧洲个人用户数据的公司必须严格遵守持有和保护这些信息的要求,并必须在72小时内向相关机构报告违规情况。根据该规定,企业可能面临高达其全球年收入4%的罚款。 对Facebook来说,这意味着罚款可能高达16.3亿美元。Facebook在2017年的营收超过406.5亿美元。 Facebook于9月28日首次披露了安全漏洞,称有5000万个账户的登录密码被盗。不久前,这一数字降至3000万。Facebook证实,有2900万受影响用户的姓名和联系信息被曝光。在这些用户中,有1400万人的其他个人信息泄露,比如他们的性别、关系状况以及最近登记入住的地点等,这些信息都被攻击者窃取了。 Facebook此前拒绝透露有多少欧洲用户受到了此次黑客攻击的影响,但爱尔兰数据保护委员会联络主管格雷厄姆·多伊尔(Graham Doyle)透露,受影响的账户中有10%是欧洲账户。 Facebook还没有立即回应置评请求。 爱尔兰数据保护委员会正在调查数据泄露事件。该机构发言人表示:“Facebook上周五(10月12日)的更新意义重大,因为Facebook已经证实,数百万用户的个人数据被攻击者所窃取。我们仍在对此事进行调查,并将继续对Facebook是否遵守了GDPR规定进行调查。” 欧盟司法专员维拉·朱罗娃(Vera Jourova)本月早些时候曾称:“我们有非常严格的规定,我们有非常强大的工具来约束那些交易和处理个人隐私数据的公司,Facebook显然也包括其中。”   稿源:网易科技,封面源自网络;

PHP 5 将于年底停止更新,六成用户将面临安全风险

网络技术应用研究公司 W3Techs 近日表示,根据所有网站使用 PHP 版本的情况,从2019年1月1日起,有近62%的网站将会因为无法获得安全更新,而受到恶意攻击。 根据 W3Techs 的调查,从本月 15 日开始,其研究的网站样本中使用的 PHP 的比例高达 78.9%,使用 PHP 5 的网站的比例达到 61.8%。 在子版本中,使用 PHP 5.6 版的网站的比例为 41.5%,使用版本5的比例最高。 根据 PHP 官方网站列出的支持版本及时刻表(如下),PHP 5.6 于 2014 年发布,主要支持已于2017年1月19日关闭,安全支持将于2018年12月31日终止。即两个半月后,使用 PHP 5.6 版本的网站将不再收到安全漏洞或错误更新,除非用户支付操作系统供应商的更新服务费用。 如果黑客发现并利用旧版 PHP 中的漏洞,可能会使数百万个网站和用户陷入危险。 事实上,PHP 5.6 的主要及安全更新期早就结束,但因使用的网站较多,因此,PHP 维护组织曾一度分别延长其支持时间。 有些人将这种情况描述为 PHP 定时炸弹。 较新的 PHP 7.0 将不再在今年12月1日的 EOL(生命周期结束)提供安全支持。 即便是版本 7.1 也将于12月1日终止。一年后结束安全支持。 目前三大网站内容管理系统(CMS)项目中,只有 Drupal 宣布从明年3月6日起,Drupal 支持网页最低要求 PHP 7,建议采用 7.1 版。Joomla 推荐使用 5.6 或更高版本,支持下限为 5.3.10。 WordPress 建议使用 PHP 7.2 或更高版本,最低支持5.2.4。 根据 ZDNet 报道,WordFence 安全组件研发主管 Sean Murphy 表示,PHP 漏洞利用的主要目标不是在 PHP 本身,而是在 PHP 库和 CMS 系统中,但其他安全专家认为,等截止日期到来,黑客就会积极利用 PHP 5.6 中的漏洞的。   稿源:开源中国,编译自:ZDNet、JAXenter,封面源自网络;

苹果回应账户被盗刷:深表歉意 建议开启双重认证

网易科技讯 10月16日消息,针对“苹果用户账户出现集体被盗刷的情况,数量预计超过700人”,苹果回应称,第一时间组织了工程师来寻找事件的根源。苹果调查发现,少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗。同时,苹果发现通过虚假的和欺诈性的退款申请试图牟利的情况有所增加。 苹果称已经采取了多种措施来保护用户,并已防止了相当数量的欺诈交易。 因网络钓鱼诈骗给用户带来的不便,苹果深表歉意。苹果正主动识别可疑活动,并与受影响的用户取得联系。苹果强烈建议所有用户开启双重认证,以防止未经授权的访问。 以下是声明全文 媒体声明 我们非常重视中国消费者,希望确保他们拥有最佳的产品体验。针对消费者报告的有关网络钓鱼诈骗和Apple ID盗刷事件我们进行了调查,在此,我们想就尚在进行中的调查给出一个说明。 当我们了解到这些事件后,第一时间组织了Apple工程师来寻找事件的根源。消费者的隐私和安全对我们来说至关重要。我们的调查发现,少量用户的账户在尚未开启双重认证的情况下遭遇钓鱼诈骗。同时,我们发现通过虚假的和欺诈性的退款申请试图牟利的情况有所增加。 我们已经采取了多种措施来保护我们的用户,并已防止了相当数量的欺诈交易。比如,通过审查发生在近期账户变动后的购买请求,我们拒绝了高风险的订单。由于我们的持续努力,我们已经注意到这些问题现已显著减少。 因网络钓鱼诈骗给用户带来的不便,我们深表歉意。我们正主动识别可疑活动,并与受影响的用户取得联系。我们强烈建议所有用户开启双重认证,以防止未经授权的访问。 同时,我们正与相关消费者保护组织保持沟通,并倾听用户对这些措施的反馈。如需了解有关 “安全性和Apple ID” 的更多信息,可随时访问:访问:https://support.apple.com/zh-cn/HT201303,或联系,或联系AppleCare进一步了解相关问题。   稿源:网易科技,封面源自网络;

报告:针对 iOS 设备的加密货币挖矿攻击上升近 400%

据外媒报道,来自Check Point研究团队的《2018年9月全球威胁指数》数据显示,针对iOS设备以及使用Safari浏览器设备的加密挖矿恶意软件数量出现了近400%的增长。Check Point威胁情报部门经理Maya Horowitz表示:“加密挖矿仍旧是全球个组织面临的主要威胁。最有趣的是,在9月最后两周,针对iPhone和Safari浏览器的攻击增加了四倍。” 另外他还指出,这些针对苹果设备的攻击并没有使用什么新功能,为此他们将对这一背后的可能原因继续展开调查。 据了解,所有针对运行iOS和Safari设备的攻击都使用了JavaScript挖矿程序–Coinhive,它能非常容易地被集成到任何web应用程序中以此来窃取程序打开时的处理能力。 攻击者利用Coinhive挖矿程序来暗中挖掘门罗币(Monero),不同于比特币的是,门罗币区块链提供的是几乎无法追踪的交易,这一特性使其对大多数网络骗子来说相当具有吸引力。 在Check Point 2017年12月份的《全球威胁指数》中,Coinhive占据了第一的位置。 尽管基于Coinhive的攻击并不是为窃取数据以及感染其他受害者而设计的,但它却能将遭其攻击的设备锁住并为之服务。很显然,这对于那些不具备足够网络安全专业知识的用户来说是个极其令人难搞的问题。 Check Point在报告指出,增长背后的原因尚不清楚,但这倒是提醒了人们,移动设备是一个组织攻击界面中经常被忽视的元素。至关重要的是,移动设备要得到全面的威胁预防解决方案保护,这样它们才不会成为企业安全防御的薄弱环节。 眼下,基于Coinhive的加密货币挖矿攻击影响了全球近19%的组织,与此同时,像Cryptoloot、XMRig、Jsecoin等其他加密挖矿程序也出现在了Check Point的十大威胁指数榜单中。   稿源:cnBeta,封面源自网络;

冰岛史上最大网络攻击行动:黑客冒充警方欺诈民众

新浪科技讯 10月15日下午消息,据中国台湾地区媒体报道,安全厂商Cyren揭露,有数千名冰岛民众在上周收到了网络钓鱼邮件,而且黑客是以冰岛警方的名义发送邮件,还建立了可以假乱真的官方网站,企图于使用者电脑上植入恶意程式并侧录受害者所输入的机密资讯。由于冰岛的人口只有35万,因此这一攻击已被视为是冰岛史上最大的网络攻击行动。 这一攻击行动始于今年10月6日,黑客以所入侵的帐号注册了www.logregian.is网域名称,与冰岛警方的官网www.logreglan.is只差了一个字母,并在邮件中威胁使用者若不遵守规定可能会遭到逮捕,继之提供来自伪造网站的连结。 当使用者造访假冒的警察网站时,会被要求输入社会安全码,输入之后,该站竟然能够验证使用者的身分,从而跳出使用者的姓名,还要求使用者输入邮件中所附的验证码以再次验明正身。 至此使用者几乎已不再怀疑,很容易就会听从网页上的指示,下载一个具密码保护的.rar档案,输入网页上所提供的密码,解压缩后则会出现一个Yfirvold.exe执行档,这是个兼具键盘侧录功能的远端存取木马,执行后会开始搜集存放于浏览器中的机密资讯并侧录键盘,再将资料上传至黑客设于德国与荷兰的远端服务器。 Cyren表示,该恶意程式明确锁定了冰岛民众,因为它会检查受害者是否造访冰岛主要的多家网络银行。 冰岛警方已认定这是冰岛迄今所出现的最大的网络攻击行动,也已确认许多收件人都已沦为受害者,并根据电子邮件及网站所使用的文字,以及黑客所拥有的冰岛民众资料,相信它是由内贼所为。   稿源:新浪科技,封面源自网络;

这款伪装成 Flash Player 安装器的挖矿应用真的会更新你的 Flash

加密货币的挖矿恶意程序正伪装成Adobe Flash Player安装程序来传播挖矿恶意程序。虽然这种套路并非首次见到,但这款恶意挖矿应用会在更新Flash Player过程中安装挖矿应用。 伪装成Flash Player安装器的挖矿恶意应用并不新鲜,但过去通常只会安装挖矿应用然后退出,或者打开浏览器访问Adobe Flash Player的网站。 Palo Alto Unit 42研究员 Brad Duncan发现的最新恶意软件中,不仅会安装XMRig挖矿应用,而且会自动对Flash Player进行更新。这样在安装过程中不会引起用户的怀疑,从而进一步隐藏了它的真正意图。 Duncan表示:“这款安装器会真的访问Adobe的服务器来检查是否有新的Flash Player。整个安装过程中和正式版基本上没有差别。”这样用户以为正常升级Flash的背后,安装了coinminer的挖矿应用。一旦设备受到感染,就会连接xmr-eu1.nanopool.org的挖矿池,开始使用100%的CPU计算能力来挖掘Monero数字货币。   稿源:cnBeta,封面源自网络;