生當如夏花之絢爛 一周安全信息簡報
本周簡報
和聖小博一起周五讀簡報
一
熱點事件
1,中消協在京啟動APP信息收集與隱私政策測評活動
關鍵詞:APP
近日,中消協宣布在京啟動APP信息收集與隱私政策測評活動,以幫助消費者了解各類APP消費者個人信息收集以及隱私保護措施情況。近年來,各類手機APP應用發展迅猛,極大地豐富和方便了消費者的互聯網生活。然而,一些APP軟體有的告知消費者信息收集類別不明確,中消協提醒各類APP開發和應用的企業及相關人員,嚴格遵守有關消費者個人信息保護的法律規定,確保APP開發和應用符合消費者個人信息保護要求,為消費者提供更加安全、可靠、實用的APP應用軟體。(來源:中國經濟網)
2,拒不履行網路安全管理義務,宿豫一網路公司被罰10萬
關鍵詞:網路處罰
2018年4月,宿豫公安分局接到上級公安機關通報,轄區一互聯網數據中心涉嫌存在違法違規內容。宿豫民警在調查核實時,該公司拒不配合調查。宿豫公安分局組織民警對該數據中心接入的網站、平台域名、備案信息等現場檢查,查處存在違法違規內容網站的伺服器46台,關閉「殭屍網站」1008個,清理備案資料不準確、實名制落實不到位的網站百餘個,關停涉嫌網路賭博、私服等違法遊戲59款。6月23日,記者從宿豫警方獲悉,該網路有限公司被罰款10萬元,公司法人和技術主管分別被罰款2萬元。(來源:江蘇網)
3,中小企業將釣魚列為首要攻擊威脅
關鍵詞:調查
近日,一份針對600名中小企業管理者的調查顯示,幾乎所有中小企業都對員工展開了安全意識培訓,因為他們擔心針對員工的釣魚攻擊會給企業帶來嚴重威脅。其中,美國、英國和澳大利亞最為重視企業網路安全,相應地,他們的預估違規成本也在下降。調查顯示,48%的受訪者認為網路釣魚攻擊是最重要的威脅,45%的受訪者表示他們的業務易受DNS攻擊。總體來說,原本佔據第一的新型惡意軟體跌至第六位,落後於分散式拒絕服務(DDoS)和移動攻擊。勒索軟體從2017年的第五位上升到2018年的第三位,不過這也因地理位置而異。(來源:infosecurity)
4,美國大數據公司失誤泄露2TB隱私信息
關鍵詞:破解
據Wired報道,本月初曝光的市場和數據匯總公司Exactis伺服器信息暴露的事情經調查為實。Exactis採集了大約3.4億條記錄,大小2TB,可能涵蓋2.3億人,幾乎是全美的上網人口。Exactis此次的信息泄露並不是黑客撞庫引起或者其它惡意攻擊,而是他們自己的伺服器沒有防火牆加密,直接暴露在公共的資料庫查找範圍內。目前,Exactis已經對數據進行了加密防護。在其官網,Exactis號稱服務2.18億獨立用戶,總計手機了超過35億條商業、消費者和數字信息。(來源:快科技)
二
政策、報告
1,《網路安全等級保護條例(徵求意見稿)》公開徵求意見
關鍵詞:等級保護
6月27日,公安部官網發布《網路安全等級保護條例(徵求意見稿)》,開始為期一個月的意見徵求。該條例是《網路安全法》的重要配套規定,值得高度關注。徵求意見稿指出,各級人民政府鼓勵扶持網路安全等級保護重點工程和項目,支持網路安全等級保護技術的研究開發和應用,推廣安全可信的網路產品和服務。國家鼓勵利用新技術、新應用開展網路安全等級保護管理和技術防護,採取主動防禦、可信計算、人工智慧等技術,創新網路安全技術保護措施,提升網路安全防範能力和水平。(來呀:公安部網站)
2,《「人工智慧+製造」產業發展研究報告》發布
關鍵詞:人工智慧
近日,由中國社會科學院工業經濟研究所、騰訊研究院共同研究編製的《「人工智慧+製造」產業發展研究報告》在京發布。 報告從概念、現狀、影響和對策等方面,對人工智慧與製造業融合發展進行了系統性研究,並重點分析了互聯網的資源與能力。報告認為,對於複雜的製造業來說,互聯網的定位更應該為「助力者」而非「顛覆者」,幫助製造企業加快轉型升級的步伐。(來源:中國工控網)
3,工信部:推動互聯網、大數據、人工智慧和實體經濟深度融合
關鍵詞:工信部
工信部信軟司在中國電子報撰文稱,下一步將持續推進「寬頻中國」建設,做好網路提速降費工作,加快推進5G研發和產業化。以IPv6規模部署為契機,加快下一代網路建設,推進工業領域IPv6的應用。實施工業技術軟體化行動和「芯火」計劃,突破大數據、人工智慧、區塊鏈等關鍵技術和產品瓶頸,發揮我國在互聯網應用、智能終端、網路設備等領域的比較優勢,帶動產業鏈上下游技術創新的整體性突破。(來源:新浪財經)
4,Palo Alto Networks發布2018年第一季度網路威脅態勢分析
關鍵詞:態勢分析
Palo Alto Networks公司的Unit 42威脅研究團隊在上周三發布一份報告中分享了在2018年第一季度收集的一些統計數據,並在此基礎上分析了當前的網路威脅態勢。具體而言,這份報告闡述了有關於CVE漏洞、惡意網站鏈接和漏洞利用工具(EK)的統計信息,然後討論了這些網路威脅的當前生命周期,最後以對兩個案例的探究結束——一個發展中的漏洞利用工具(EK)和一個加密貨幣礦工。(來源: 黑客視界)
三
本周漏洞預警
1,Joomla! com_regionalm Icta Regional Museum SQL注入漏洞
危害級別:高
漏洞描述
Joomla!是美國Open Source Matters團隊開發的一套開源的內容管理系統(CMS)。Joomla! com_regionalm Icta Regional Museum存在SQL注入漏洞,攻擊者可利用漏洞獲得資料庫敏感信息。
影響產品
Joomla! com_regionalm Icta Regional Museum
解決方案
目前沒有詳細的解決方案提供:
https://www.exploitalert.com/view-details.html?id=30141
2,iThemes Security SQL注入漏洞
危害級別:高
漏洞描述
WordPress是WordPress軟體基金會的一套使用PHP語言開發的博客平台,該平台支持在PHP和MySQL的伺服器上架設個人博客網站。iThemes Security(better-wp-security)plugin是使用在其中的一個用於防護網站入侵的安全插件。WordPress iThemes Security(better-wp-security)插件7.0.3之前版本中存在SQL注入漏洞。遠程攻擊者可藉助日誌頁面利用該漏洞注入SQL命令。
影響產品
WordPress iThemes Security(better-wp-security)plugin
解決方案
廠商已發布漏洞修復程序,請及時關注更新:
https://wordpress.org/plugins/better-wp-security/#developers
3,Microsoft SharePoint Server許可權提升漏洞(CNVD-2018-12145)
危害級別:高
漏洞描述
Microsoft SharePoint Enterprise Server 2016和SharePoint Foundation 2013 SP1都是美國微軟(Microsoft)公司的產品。Microsoft SharePoint Enterprise Server 2016是一套企業業務協作平台。該平台用於對業務信息進行整合,並能夠共享工作、與他人協同工作、組織項目和工作組、搜索人員和信息。SharePoint Foundation 2013 SP1是一套基於Web的面向小型組織或部門的協作平台。Microsoft SharePoint Enterprise Server 2016和Microsoft SharePoint Foundation 2013 SP1中存在提權漏洞,該漏洞源於程序未能正確的過濾特製的請求。遠程攻擊者可藉助特製的web請求利用該漏洞獲取提升的許可權。
影響產品
Microsoft SharePoint Foundation 2013 SP1
Microsoft SharePoint Server 2016
解決方案
目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8252
危害級別:高
漏洞描述
影響產品
VIICMS VIICMS v1.0
解決方案
廠商尚未提供漏洞修復方案,請關注廠商主頁更新:
本期內容到這裡就結束了
感謝您的收看
聖博潤SBR團隊,
持續呈現最優要聞!
TAG:聖博潤 |