天寒地冻，来份热腾腾的包子做早餐。暖胃又暖心！

各位 Buffer 早上好，今天是  2018 年 1 月 11 日星期四。天气随机，温度低。大家注意保暖哦。今天份的 BUF 早餐主要有：微软周二修复日解决 56 个安全问题，包括一个 0-day 漏洞；戴尔 EMC 修复数据保护应用产品中的三个 0-day 漏洞；IoT 僵尸网络 C&C 服务器数量在 2017 年翻倍；合作商 Mailgun 遭遇数据泄漏导致 Reddit 用户比特币被盗；Electrum 比特币钱包中的漏洞现已修复；国家网信办就“支付宝年度账单事件”约谈阿里巴巴负责人；因涉及用户信息保护问题，苹果表示中国内地 iCloud 服务将转由国内公司负责运营。

以下请看详细内容：

【国际时事】

微软周二修复日解决 56 个安全问题，包括一个 0-day 漏洞

本周二是微软的例行修复日，此次微软共修复  56 个安全问题，并发布针对 Adobe Flash、芯片漏洞的特别安全建议，同时还发布了 Office 应用的深度防御更新。

值得关注的是，微软此次的修复方案中包括一个 0-day 漏洞补丁。该漏洞（CVE-2018-0802）是一个内存崩溃漏洞，可被攻击者利用在受害者个人电脑上执行代码，主要存在于旧版本的 Office 公式编辑器（Equation Editor）组件中。此次修复通过移除公式编辑器的部分功能而实现。

此外，Mac 版本的 Outlook 中存在的 Mailsploit 漏洞，Adobe 中的 信息披露漏洞（CVE-2018-4871，主要涉及带外读取）也都得到了修复。更多详情可参考微软发布的安全更新公告。 [来源：bleepingcomputer]

戴尔 EMC 修复数据保护应用产品中的三个 0-day 漏洞

近日，戴尔 EMC 告知用户其 Avamar Server、NetWorker Virtual Edition 和 Integrated Data Protection Appliance 产品存在三个 0-day 漏洞，可被攻击者利用完全接管目标系统。

漏洞存在于 Avamar Installation Manager 组件中，主要涉及 SecurityService 中的认证绕过；UserInputService 中的任意文件获取授权以及文件下载授权。戴尔已经在 ESA-2018-001 文件中发布解决方案，拥有戴尔 EMC 在线支持凭证的客户可以获取到更新。

三个漏洞中，CVE-2017-15548 最为严重，可被远程攻击者利用，绕过认证并获取系统的root权限。而 CVE-2017-15549 漏洞则可被获取认证的低权限攻击者利用，将恶意文件上传到服务器中。CVE-2017-15550 则是一个路径遍历漏洞，可以被获取认证的低权限攻击者利用，获取服务器上的任意文件。

受影响的产品主要包括：Avamar Server 7.1.x, 7.2.x, 7.3.x, 7.4. x, 7.5.0；NetWorker Virtual Edition 0.x, 9.1.x, 9.2.x；Integrated Data Protection Appliance 2.0。[来源：Securityaffairs ]

IoT 僵尸网络 C&C 服务器数量在 2017 年翻倍

据 Spamhaus 组织统计，2017 年用于管理僵尸网络的 C&C 服务器数量高达 943 台，比 2016 年的 393 台高出两倍多，而僵尸网络 IP 的整体数量也增长了 32%。

与入侵其他服务器并用于攻击或使用入侵的 IP 地址相比，黑客更喜欢使用域名名称并租用 VPA 系统（即购买并设置自己的服务器）用于攻击。统计结果还显示，Pony 恶意软件重新活跃。Pony 是一款信息窃取木马，可以从受感染的设备中获取密码，甚至选择性地分发其他恶意软件。

在所有涉及僵尸网络的 C&C 服务器中， .com 和 .pw 是最常用的域名。此外，通过美国某域名注册网站 Namecheap 注册域名的 C&C 僵尸网络服务器占总数的 25% 以上。[来源：bleepingcomputer]

【数据安全】

合作商 Mailgun 遭遇数据泄漏导致 Reddit 用户比特币被盗

Reddit 确认其电子邮件提供商之一 Mailgun 已被入侵，导致用户配置文件及其相关的加密货币账户都遭到黑客入侵。

攻击者利用通过第三方供应商发送的密码重置电子邮件，入侵 Reddit 帐户。几位 Reddit 用户也报告说他们的 Bitcoin Cash 小费账户已经被清空。

不过 Reddit表示：攻击者“无法访问 Reddit 的系统或 Reddit 用户的电子邮件帐户”，而且目前确认受影响的用户数量还不到20。

Reddit 在 12 月 31 日收到一些关于密码重置电子邮件的报告，这些邮件在未经帐户所有者许可的情况下发起和完成。调查显示，恶意攻击者瞄准了 Mailgun，并获得了 Reddit 密码重置邮件的访问权限。

Reddit 表示目前已经采取了控制措施，以确保类似事件不再发生。Mailgun 目前也确认了邮件账号被盗的员工，并已经修复了这个问题。相关人员声明，黑客对 Mailgun 整体顾客的影响不到 1%。[来源：infosecurity]

【终端安全】

Electrum 比特币钱包中的漏洞现已修复

近日，知名比特币钱包 Electrum 发布补丁，以修复 2.6-3.0.3 版本中出现的 JSON-RPC 协议交互漏洞。

漏洞发现者表示：electrum 虚拟光驱运行时，来自服务器上不同虚拟主机的人可以通过本地 RPC 端口轻易进入 electrum 钱包。目前尚未发现任何认证或其他安全措施，导致攻击者有可乘之机，进入钱包并窃取比特币。此外，就算钱包有密码保护，攻击者也可能窃取到交易地址和其他相关信息，进而篡改 Electrum 账户设置，并最终导致对这个钱包的进一步利用。

更新提示称：更新 Electrum 钱包。同时注意，在开着钱包的同时还去其他网站冲浪是不安全的。如果网站没有设置密码保护，或者设置的密码可轻易被爆破，那么钱包信息都有可能被窃取。

知名比特币论坛 Bitcointalk.org 提示，Electrum 用户应当尽快升级到最新版本，且在升级之前最好不要再使用钱包。[来源：hackread]

【国内新闻】

国家网信办就“支付宝年度账单事件”约谈阿里巴巴负责人

今年年初，支付宝公布了一年一度的用户“个人账单”，却引来不小风波，原因是在账单首页中，有一行特别小的字，“我同意《芝麻服务协议》”，并且已经帮用户选择好了“同意”，而协议条款内容则涉及“你允许芝麻信用收集你的信息”。

这一事件被一位律师发现，并发布了微博，一时间被众多网友转发，而大家共同的担心就是自己的个人信息有没有被泄露的风险。发布微博的律师表示：支付宝的这一举动不仅仅涉嫌侵犯用户的知情权、选择权，而所谓的《芝麻服务协议》的很多条款都耐人寻味，用户资料存在被泄露的风险。

针对此事，国家互联网信息办公室网络安全协调局近日约谈了支付宝（中国）网络技术有限公司、芝麻信用管理有限公司的有关负责人。网络安全协调局负责人指出，支付宝、芝麻信用收集使用个人信息的方式，不符合刚刚发布的《个人信息安全规范》国家标准的精神，违背了其前不久签署的《个人信息保护倡议》的承诺；应严格按照网络安全法的要求，加强对支付宝平台的全面排查，进行专项整顿，切实采取有效措施，防止类似事件再次发生。[来源：新浪科技]

因涉及用户信息保护问题，苹果表示中国内地 iCloud 服务将转由国内公司负责运营

苹果 1 月 9 日在支持网站发表了一份声明，宣布从 2018 年 2 月 28 日起 iCloud（中国）将由中国公司云上贵州运营。中国去年生效的网络安全法要求将中国用户数据储存在中国境内的服务器上。苹果称，“此举将有助于我们继续提升 iCloud 服务的速度与可靠性，并遵守中国法规。”

苹果表示，国家或地区设置为 “中国” 的 Apple ID，其关联的 iCloud 服务的运营将被转移，此后用户使用这些服务及通过 iCloud 存储的所有数据（包括照片、视频、文稿和备份等）都将受到新的 iCloud（由云上贵州运营）条款与条件的约束。用户将需要同意 iCloud（由云上贵州营）条款与条件，方可继续使用 iCloud（中国）。如果不想使用由云上贵州运营的 iCloud（中国）服务，用户可以前往 https://www.icloud.com/optout，表明自 2018 年 2 月 28 日起停用 iCloud 帐户。[来源：Solidot]

*AngelaY 编译整理，转载请注明来自 FreeBuf.COM