安全快讯Top News

微软 10 月补丁日部署安全更新:修复已被用于攻击的 Win32k 提权漏洞

10月9日,微软发布了2018年10月份的月度例行安全公告,并且发布了安全更新部署修复了多款产品的多项安全漏洞。在Windows 10的安全更新部署的修复中,重点提及了CVE-2018-8453 Win32k提权漏洞,今年8月份最初由卡巴斯基实验室观测到活动,并发现被APT组织FruityArmor用于攻击活动中的漏洞。 CVE-2018-8453漏洞在近日被APT组织FruityArmor用于攻击活动中,卡巴斯基实验室指出这一利用由高质量代码写成,影响目标可以包括尽可能多的微软Windows版本,包括Windows 10 RS4。 CVE-2018-8453 Win32k提权漏洞 CVE-2018-8453漏洞最初由卡巴斯基实验室观测到在野利用,经过后续研究发现其被APT组织FruityArmor用于攻击活动中,这也是该组织第三次利用0day漏洞(CVE-2016-3393、CVE-2018-5002 )。不过此漏洞不能导致远程代码执行,只能用于感染机器后实现提权。   稿源:cnBeta,封面源自网络;

2018 上半年有 45 亿账号被盗 平均每分钟 4822 个

根据Gemalto公布的最新报告[PDF],2018上半年用户账户信息被盗数量达到惊人的4,553,172,708,同比增长133%。虽然被盗用户数量比去年由明显增长,但是被盗事件仅有945起,而去年为1162起。Gemalto报告称自2013年以来累积账号被盗数量为14,644,949,623,平均下来每天为6,947,320,而其中只有4%的账号是进行过加密的。 如果按照行业来划分,那么账号被盗的重灾区就是社交媒体,在所有被盗记录中的占比达到了56.11%,其次是政府,占比达到26.62%。此外56.08%的数据泄露是外部攻击者通过漏洞或者恶意软件等方式窃取的,记录的被窃记录达到36亿条,增长了1000%。 意外丢失和内部人士恶意窃取占比分别为33.65%和6.46%,事故发生率下降至9亿,下降了47%。Gemalto将泄露事件类型分为身份盗窃,账户凭证,金融凭证,骚扰和Existential Data,其中身份盗窃占比高达64.55%,其次是账号凭证(17.47%)和金融凭证(13.02%)。   稿源:cnBeta,封面源自网络;

Google+安全漏洞引欧洲关注 德国爱尔兰介入调查

网易科技讯 10月10日消息,据彭博社报道,搜索巨头谷歌旗下同名社交网络Google+“软件故障”被曝光后,引发欧洲隐私保护机构关注。德国汉堡的数据保护专员约翰内斯·卡斯帕(Johannes Caspar)宣布,该机构已经开始调查此事,这个漏洞可能导致多达50万用户的个人数据被泄露。 卡斯帕是欧洲最直言不讳的隐私保护官员之一。但他表示,目前对此案还没有任何见解,也没有从谷歌得到任何信息。爱尔兰隐私管理局表示,它将从谷歌获取有关这些问题的信息。将来,该机构可能成为这家科技巨头在欧洲的主要监管者。 《华尔街日报》首先报道了Google+漏洞问题。据称,虽然谷歌早在今年3月份就发现了这一漏洞,但它没有选择公开,主要是因为担心这会引来监管机构的审查,尤其是在Facebook因隐私问题受到批评之后。 在《华尔街日报》的报道发布几分钟后,谷歌在其博客上发表声明称,内部委员会决定不披露这一潜在漏洞,因为没有证据表明这些数据(包括姓名、电子邮件地址、年龄和职业)有任何被滥用迹象。该公司还称,这个漏洞在当时立即得到了修复。 这一消息加剧了谷歌在美国和欧盟的困境。过去两个月,美国两党政治家都加大了对谷歌的攻击力度,共和党人指责谷歌对他们抱有偏见,民主党人则质疑谷歌是否已经变得过于强大。 在欧洲,谷歌也面临着隐私保护和竞争监管机构的审查。欧盟7月对谷歌处以43亿欧元(约合49亿美元)的创纪录反垄断罚款,并命令其改变在Android移动设备上安装搜索和浏览器应用的方式。 谷歌驻布鲁塞尔发言人艾尔·瓦尔尼(Al Verney)没有立即回应置评请求。 在谷歌丑闻爆发之前,社交媒体巨头Facebook在过去一年内发生了多起数据泄露事件。本月,Facebook成为欧盟加强隐私保护规定的首个重大测试案例,这可能导致该公司被处相当于其每年销售额4%的罚款。 爱尔兰数据监管机构也对Facebook的一个安全漏洞展开了调查,该漏洞影响了多达5000万个账户。此事发生在5月25日,也就是欧盟新规生效之后,因此适用于新规。 由于谷歌的数据丑闻发生在3月份,因此不符合欧盟新规范畴。而按照旧有规则,即使是最严重的违规,罚款数额也相对较小。 当地时间周二,欧盟28个隐私监管机构的联合组织表示,它尚未接到有关这一数据泄露的正式通知,但它似乎确实比新法案生效更早发生。 欧盟司法专员维拉·朱罗娃(Vera Jourova)表示,这“再次提醒了我们,为什么欧盟推进现代数据保护规则是正确的。许多大型科技公司似乎并不希望进行公平竞争。”   稿源:网易科技,封面源自网络;

欧盟隐私部门主管:首轮涉数据违规罚款或在年底实施

新浪科技讯 北京时间10月10日早间消息,据路透社报道,欧盟隐私部门主管表示,监管机构将依据新隐私法行使权力,对违规行为处以罚款甚至临时禁令,预计今年年底将实施第一轮制裁。 《欧盟通用数据保护条例》(GDPR)于5月25日生效,被外界认定为欧盟二十多年来最大的数据隐私法规改革。新规允许消费者更好地控制他们的个人数据,并赋予监管机构权力,对违反规定的企业处以罚款,金额可高达其全球收入4%或2000万欧元(约合2300万美元)。 欧洲数据保护监督官员乔瓦尼·布塔雷利(Giovanni Buttarelli)说,从新法规公布之日起,执法人员收到大量有关违规行为的投诉,并被要求对此加以澄清,仅在法国和意大利,报告数量就与去年相比增长了53%。 布塔雷利在接受路透社采访时透露,“我预计到今年年底,第一批GDPR处罚情况将会对外公布。不一定是罚款,还包括废除控制方、实施初步禁令、临时禁令或给予他们最后通牒。” 数据控制方可以包括收集和处理个人数据的社交网络、搜索引擎和在线零售商,而数据处理方只代表控制方处理数据。 罚金由欧盟各成员国的国有隐私监管机构征收。虽然布塔雷利本人不从事罚款工作,但他负责协调整个欧盟的隐私代理机构。 罚款针对任何在欧洲经营的公司,无论总部设在哪里,都会受到GDPR的监管。 “罚金与企业直接挂钩,对公众舆论、消费者信任至为重要。但从行政角度来看,这只是全球执法的一个因素,”布塔雷利说。 制裁将在许多欧盟国家实施,许多公司和公共管理机构将受到冲击,但他拒绝提供细节,因为调查仍在进行中。 他指出,在GDPR规则实施当天,谷歌、Facebook、Instagram和WhatsApp均遭到奥地利隐私活动家麦克斯·施雷姆斯(Max Schrems)投诉,因为调查尚处于初期阶段,结果不会在近期公布。 布塔雷利还敦促欧盟各国和立法者弥合在修改电子隐私指令方面的分歧,该指令旨在为电信运营商和在线消息和电子邮件服务(如WhatsApp和Microsoft子公司Skype等)之间创造一个公平的竞争环境。 这项电子隐私提案受到隐私保护人士的赞扬,但被科技公司和一些欧盟国家指责为过于苛刻,因为它将严格的电信隐私规则扩展到科技巨头。 “电子隐私是必不可少的。这是必要的,它是数据保护和隐私的拼图中缺失的一部分。如果欧盟不能在(欧洲议会)选举前尽快更新其通信保密规则,那将是一种失职,”布塔雷利说。 欧洲议会选举将在2019年5月举行。 “我认为有机会找到可持续性策略,尽管有些问题是无法谈判的,例如OTT(Over-the-top,即互联网公司越过运营商,发展基于开放互联网的各种视频及数据服务业务),”他说。 消费者游说集团BEUC正在呼吁欧盟国家应该停止拖延。 BEUC发言人约翰内斯·克雷斯(Johannes Kleis)说:“这项法律将进一步保护消费者上网或使用移动应用程序时的隐私,以及保护他们在线通信的私密性,更为必要。”   稿源:新浪科技,封面源自网络;

Google 在欧洲上线安全中心网站 包含隐私设置及安全工具

谷歌宣布其安全中心网站正在欧洲各地推广,从现在起比利时,法国,德国,意大利,荷兰和英国的人们可以访问谷歌选择自己适合的工具和获取保持在线安全的技巧。此次发布时间恰逢欧洲网络安全月,但谷歌似乎还没有决定如何拼写自己的产品名称: Safety Center或者Safety Centre。 Google表示: 从今天开始,我们将在欧洲六个国家(比利时,法国,德国,意大利,荷兰和英国)推出新的安全中心。现在,您可以找到更多工具,设定简单提示以及有关数据安全性,隐私控制以及如何以适合您的家庭的方式使用技术的信息,此次发布正好赶上欧洲网络安全月,未来几周将有更多的国家和语言的支持。 帮助人们管理他们的隐私和安全是我们致力所做的事情。多年来,我们创建了许多工具并且始终在改进它们以便您掌控:Google帐户可让您访问所有设置以保护您的数据和隐私;隐私检查可帮助您快速查看和调整Google用于个性化体验的数据;“我的活动”可帮助您查看与您的帐户相关联的活动数据。 访问Google安全中心官网: https://safety.google   稿源:cnBeta,封面源自网络;

Google+存在泄密漏洞,谷歌悄悄修复后隐瞒了半年

网易科技讯 10月9日消息,据美国媒体报道,谷歌将遇到与Facebook一样的情况,Google+存在的安全漏洞允许第三方开发者访问用户资料,这种情况从2015年就出现,但谷歌直到今年三月才发现并修复,而且没有向外界公布。 当Google+的用户允许应用访问他们的公开资料时,这个漏洞也会允许应用开发者获取用户及用户朋友的非公开资料。事实上,谷歌透露有49万6951个用户的全名、电邮地址、生日、性别、照片、居住地、职业和婚姻状况都可能泄露,虽然没有证据显示可能访问了这些数据的438个应用滥用了数据。 内部备忘录显示,谷歌认为”可能导致我们成为关注焦点甚至替代Facebook,虽然后者一直未摆脱Cambridge Analytica丑闻困扰”,因此决定不向公众公开。现在已经被用户抛弃的Google+已然成为公司的累赘。 谷歌今日宣布改进措施,包括停止多数第三方开发者访问Android手机短信数据、通话记录和一些联系人信息。Gmail将只允许一小部分开发者开发扩展件。Google+将停止消费者服务,用户可在十个月内保存数据,谷歌今后将G+作为企业产品来关注。 谷歌还将改革Account Permissions制度,第三方应用访问用户数据时必须每次都要确认,而不是像现在一样确认一次就可访问所有数据。Gmail扩展件将只限于那些“直接增强邮件功能”,包括邮件客户端、备份、CRM、邮件合并和生产力工具。 谷歌承认,“这次评估确认了我们以前就知道的情况:虽然我们的工程团队这么多年在开发Google+上投入很多,但没有获得广泛的消费者或开发者认可,用户与应用的互动有限。消费者版Google+当前使用率和参与度很低: 90%的Google+用户会话不到五秒”。 由于此安全漏洞出现在2015年,而且直到今年三月才被发现,是在今年5月欧洲GDPR法规生效前,因此谷歌可能因未能在72小时内公布问题遭全球年营收2%的罚款。该公司还可能面临集体诉讼和公众批评。好的一面是,G+帖子和消息、谷歌账户数据和电话号码以及G Suite企业内容没有泄露。 由于谷歌刻意隐瞒问题,可能面临更糟糕的局面。这让人怀疑谷歌很多其他做法是否存在问题。 这次事件可能使谷歌与Facebook一样遭到严密审查,这是该公司所不愿看到的。谷歌曾努力摆脱与Facebook和Twitter一样的批评,因为声称自己不是真正的社交网络。但现在谷歌可能面临加强对其监管的呼声以及在国会作证的局面。   稿源:网易科技,封面源自网络;

Chrome 70 即将发布,数千个网站或因安全证书受影响​​​​​​​

由于使用了旧的安全证书,互联网上的数千个网站将会在谷歌发布 Chrome 70 后受到影响 —— 访问这些网站的用户将会收到浏览器提示的安全警告。这是因为 Google 已放弃对赛门铁克在2016年6月之前发布的 HTTPS 安全证书的信任。 一年多前,当谷歌发现赛门铁克不正当地颁发安全证书时,谷歌方面就警告说它将放弃对来自赛门铁克受影响的批量证书的支持。简单来说,赛门铁克在2016年6月之前发布的安全证书都将不会受到 Chrome 70 的信任。因为谷歌早已在一年前就已公布时间表,所以 Web 开发者有一年多的时间来准备此更改。 安全研究员斯科特·赫尔姆(Scott Helme)在 Alexa 排名前 100 万个网站中发现超过 1000 个网站依然使用赛门铁克旧的安全证书,这些网站可能会受到谷歌推出 Chrome 70 的影响,其中包括一些来自印度和特拉维夫的知名政府网站。 据 TechCrunch 报道,除赛门铁克证书外,在2016年6月之前使用 Thawte, VeriSign, Equifax, GeoTrust 和 RapidSSL 颁发的证书的网站也将受到 Chrome 70 的影响。   稿源:开源中国,封面源自网络;

苹果发布 iOS 12.0.1 更新修复绕过密码访问联系人漏洞

苹果公司今天凌晨发布了适用于 iPhone 和 iPad 的 iOS 12.0.1 更新,这是苹果自 9 月发布 iOS 12 和 iPhone XS 系列手机以来第一次对发现的 bug 进行修复。除了官方更新说明上的修复,还包括对iOS12绕过口令直接访问联系人和照片的安全漏洞的修复,该漏洞最早由Jose Rodriguez发现。 这个漏洞似乎影响了所有的 iPhone 机型,包括最新的 iPhone XS 和 iPhone XS Max——它们都能运行最新的软件,其中包括 iOS 12 和 iOS 12.1 的最新测试版。 需要明确的是,这个可以绕过 iPhone 密码的漏洞并不容易被利用。它需要通过复杂的 37 步过程,并且利用了 Siri 和 VoiceOver 辅助功能。当然,它还需要对设备进行物理访问,而且锁定屏幕上的 Siri 是启用的。 有趣的是,Face ID 需要被禁用,或者 TrueDepth 相机需要被物理覆盖以保证可以绕过 iPhone 密码。一旦使用了这个漏洞,攻击者就可以获得对用户联系人列表的完全未经身份验证的访问,该列表包括电话号码、电子邮件地址和联系人的其他数据。 iOS 12.0.1 包含 iPhone 或 iPad 的错误修复和改进。本更新: – 修复了部分 iPhone XS 设备连接闪电连接线后无法立即充电的问题 – 解决了可能导致 iPhone XS 系列设备重新加入 Wi-Fi 网络时使用 2.4GHz 而非 5GHz 的问题 – 修复了可能导致 iPhone XS 系列设备的键盘候选栏无法显示字符的问题 – 恢复了 iPad 键盘上“.?123”键的位置 – 修复了部分应用可能无法显示字幕的问题 – 解决了蓝牙可能无法使用的问题   稿源:cnBeta,封面源自网络;

物联网僵尸网络“捉迷藏”新变种发现:Android 设备成新受害者

继今年1月发现首个物联网僵尸网络Hide and Seek(HNS,捉迷藏)之后,近日Bitdefender Labs发布报告称已经发现新型变种。利用Android开发者调试之用的Android Debug Bridge (ADB)功能中所存在的漏洞,该变种通过WiFi网络连接来感染Android设备,使之成为僵尸网络的一员。 虽然并非所有Android都默认启用ADB功能,但部分Android手机厂商会默认自动启用,可以通过5555端口使用WiFi ADB远程连接就能轻松进行攻击。在连接至默认激活ADB的Android系统之后,允许攻击者以root级别获得shell访问,可以在受感染设备上运行和安装任何东西。 图片来自于 Bitdefender Labs Hide and Seek于今年1月24日由Bitdefender首次发现,感染设备数量大约为1.4万台。不过在1月26日感染设备数量迅速扩大,超过3.2万台物联网设备被感染,而且在设备重启之后依然会保留在受感染的设备上。这种物联网恶意软件在某些情况下会将其自身复制到/etc/init.d/,这是一个在基于Linux的操作系统上放置守护程序脚本的文件夹,就像路由器和物联网设备上的守护程序脚本一样。由此,设备的操作系统将在重启后自动启动恶意软件的进程。   稿源:cnBeta,封面源自网络;

法律禁止默认密码 “admin”,“无意入侵”没那么容易了

据 techcrunch 报导,前几日,加州通过了一项法律,2020 年之后禁止在所有新的消费电子产品中使用 “admin”、“123456” 和经典的 “password” 这样的默认密码。 从路由器到智能家居技术在该州建造的每个新设备都必须具有开箱即用的“合理”安全功能,法律特别要求每个设备都带有“每个设备独有的”预编程密码。它还要求任何新设备“包含一个安全功能,要求用户在首次授予设备访问权限之前生成新的身份验证方法”,在第一次打开是强制用户将其唯一密码更改为新的密码。 弱密码问题一直是黑客进行攻击利用的有效且低成本手段,多年来,僵尸网络利用了安全性较差的连接设备的强大功能,在网站上拥有大量的互联网流量,也就是所谓的分布式拒绝服务(DDoS)攻击。僵尸网络通常依赖于默认密码,这些密码在构建时被硬编码到设备中,用户以后不会对其进行更改。 恶意软件使用公开的默认密码侵入设备,劫持设备并诱使设备在用户不知情的情况下进行网络攻击。两年前,臭名昭着的 Mirai 僵尸网络将成千上万的设备拖到了目标 Dyn,这是一家为主要网站提供域名服务的网络公司。通过使 Dyn 无法正常解析域名,导致其它依赖其服务的网站也无法访问,造成在大面积的网络瘫痪。简单的 Mirai 能够造成大损失的很大原因就在于利用了设备默认的简单密码。 虽然新法可以防止这类僵尸网络,但却无法解决更广泛的安全问题,比如有些攻击是不需要猜测密码的,另一方面,该法律并未要求设备制造商在发现错误时更新其软件,像亚马逊、苹果和谷歌这样的大型设备制造商确实会更新他们的软件,但更多鲜为人知的品牌却不会这样做。 然而这毕竟是在为保证网络安全迈出的一小步,也许可以避免“腾讯员工因对酒店 Wi-Fi 服务器是否存在漏洞产生好奇并选择黑入,结果成功被捕”这样的事。你觉得怎么样?   稿源:开源中国,封面源自网络;