Reddit 也被曝出曾淪為俄羅斯干預美 2016 年總統大選工具
內容提要:
1.國際刑警組織舉辦「數字安全挑戰賽」提升各國網路應變能力
2.Spring Data REST 存在嚴重漏洞,允許遠程攻擊者執行任意命令
3.日本知名遊戲開發商 NIS 美國分部在線商城的客戶支付卡數據被盜
4.Reddit 也被曝出曾淪為俄羅斯干預美 2016 年總統大選工具
5.新的面部識別技術 Face Flashing 面世
6.Chrome 65 發布,增添新安全功能並修復 45 個安全漏洞
7.Exim 中一個漏洞影響全球半數郵件伺服器
8.谷歌發布 3 月份安全更新,修復安卓中大量嚴重和高危漏洞
9.用戶稱蘋果技術顧問竊取用戶信息並敲詐勒索
1國際刑警組織舉辦「數字安全挑戰賽」提升各國網路應變能力
國際刑警組織於近期在奧地利維也納組織了一場名為「 國際刑警組織數字安全挑戰賽 」 的培訓演練,參與其中的網路犯罪調查人員將會應對通過物聯網(IoT)設備發起的模擬攻擊,例如針對銀行的一些潛在危機事件。
2Spring Data REST 存在嚴重漏洞,允許遠程攻擊者執行任意命令
lgtm.com 的安全研究人員發現 Pivotal 公司 Spring Data REST 中存在一個嚴重漏洞,能夠允許遠程攻擊者在目標設備(該設備運行著使用 Spring Data REST 組件的應用程序)上執行任意命令。
3日本知名遊戲開發商 NIS 美國分部在線商城的客戶支付卡數據被盜
日本遊戲開發商 Nippon Ichi Software 透露,其美國分公司 NIS America 的網上商城 store.nisamerica.com 和 snkonlinestore.com 於 1 月 23 日至 2 月 26 日的某個時間段遭受了嚴重的數據泄露,可能會影響在線客戶的個人信息和財務數據。
4 Reddit 也被曝出曾淪為俄羅斯干預美 2016 年總統大選工具
據外媒報道,繼 Facebook、Twitter、YouTube 之後,現在,美國又一個人氣網站也被曝出曾淪為俄羅斯干預 2016 年總統大選的工具,它就是 Reddit。網站 CEO Steve Huffman 周一承認,該公司已經刪除了數百個疑似來自俄羅斯或跟干預宣傳活動存在直接關聯的賬號。
5 新的面部識別技術 Face Flashing 面世
研究人員近期設置一種新的面部識別系統 Face Flashing,可以利用光影模型對人臉的反射來識別不同的人,並根據系統讀取反射光線的速度來判斷是否是偽造的人臉在嘗試識別。 這個系統的主要成分是計算機,並與 LCD 屏連接(可以是電腦顯示屏也可以是手機屏幕,甚至是安全入口處的認證面板)。系統會向人臉投射一種燈光模型,旁邊的照相機會拍下並記錄燈光對人臉的反射方式,並將數據傳輸到內部的實時檢測模型,然後轉成實際面部識別特徵。在這個系統中,最重要的因素就是反射的光影。這與之前的生物識別方式不太相同,算是一個進步。不過也有專家認為僅僅依賴光影模型可不如聲稱的那麼安全。
6 Chrome 65 發布,增添新安全功能並修復 45 個安全漏洞
昨天,谷歌發布了 Chrome 65,增添了可屏蔽標籤下重定向的新 API 功能並修復了 45 個安全漏洞。 據了解,新的 API 中最重要的一個是屏蔽標籤下重定向(即在新標籤頁中打開鏈接卻將原本的標籤頁重定向到了新的鏈接)。標籤下重定向常常被惡意廣告利用,可以繞過 Chrome 的內置彈窗廣告屏蔽功能,讓廣告商打開多個標籤,給用戶推送多個產品、服務、網站等。 而 Chrome 65 中的新功能可以屏蔽掉這個標籤下重定向功能,給用戶帶去更清爽的體驗。 修復的 45 個漏洞中有 9 個高危漏洞,可以點擊 Chrome 的公告鏈接查看並更新 https://chromereleases.googleblog.com/2018/03/stable-channel-update-for-desktop.html 。
7Exim 中一個漏洞影響全球半數郵件伺服器
在郵件伺服器上運行的郵件傳輸代理軟體 Exim 中出現了一個遠程代碼執行漏洞(CVE-2018-6789),使得郵件伺服器面臨安全風險。據調查顯示,全球有 56% 的郵件伺服器運行 Exim,都可能受到影響。 這個漏洞認證前遠程代碼執行漏洞,由 Exim 64 位編碼功能中的緩衝區溢出而導致。攻擊者可以利用這個漏洞在伺服器認證之前就執行遠程惡意代碼,影響之前所有發布過的 Exim 版本。 這個漏洞由台灣安全研究人員發現,在 2 月 2 日就已經上報給 Exim 員工。隨後,Exim 在 2 月 10 日發布了 4.90.1 版本作為修復。不過,由於全球使用 Exim 的郵件伺服器數量較多,完全修復可能需要幾周甚至幾個月的時間。
8谷歌發布 3 月份安全更新,修復安卓中大量嚴重和高危漏洞
近日,谷歌發布了 3 月份的安全更新,修復安卓中大量嚴重和高危漏洞。其中,大部分漏洞可被攻擊者利用,在受感染設備上執行遠程代碼。媒體框架、安卓系統、內核、NVIDIA 顯卡、高通組件等都受到影響。 3 月 1 日發布的安全公告中修復了 16 個嚴重或高危漏洞;3 月 5 日的更新公告中修復了 21 個漏洞,其中僅 3 個為嚴重級別。此外,谷歌還修復了 Pixel?和?Nexus 設備中的 40 個漏洞。 修復詳情可以參考谷歌的修復公告:https://source.android.com/security/bulletin/2018-03-01
9用戶稱蘋果技術顧問竊取用戶信息並敲詐勒索
近日,有網友@美國往事1999發布微博稱自己2月28日向蘋果官方技術顧問諮詢問題發生口角後,該技術顧問利用職務之便,侵入該網友的icloud,拷貝其個人信息和資料,並威脅稱如果不進一步聯繫,就把該用戶個人信息和資料往外發,而且肯定會給該用戶生活和工作上帶來不便。此外,該用戶的幾個郵箱密碼也被篡改,修改密碼登陸之後又收到恐嚇郵件。 @美國往事1999 想蘋果方面提出訴求,要求儘快核實該客服的身份和部門、核實該客服拷貝走多少用戶信息和資料,是否用作他用並儘快核實iCloud 是否安全。但是蘋果方面似乎均以保密為由拒絕了。@美國往事1999隻能報警立案。 值得注意的是,蘋果官方給出的用戶數據採集規範中表示,「可能使用用戶個人信息(包括出生日期))來驗證身份,協助識別用戶並確定適當的服務。」此外,內地iCLoud 服務轉到雲上貴州後,也有相關條款表示會搜集用戶個人信息並在必要時候分享給政府等機構。 當然,蘋果一貫以高安全性著稱,不知此事最後到底如何收場。
