*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

各位Buffer早上好，今天是2018年7月12日星期四，农历五月廿七。今天份的BUF早餐内容主要有：微软7月补丁修复15个产品的53个漏洞；幽灵安全漏洞Spectre 1.1新变种曝光；京东回应斐讯事件严禁0元购宣传推广；全网超3万网站内置挖矿代码。

安全资讯早知道，两分钟听完最新安全快讯~

【漏洞】

微软7月补丁修复15个产品的53个漏洞

近日，微软发布了2018年7月安全补丁，其中包括53个漏洞安全更新，这些漏洞影响了Windows、Internet Explorer（IE）、Edge、ChakraCore、.NET Framework、ASP.NET、PowerShell、Visual Studio、Microsoft Office和Office Services及Adobe Flash Player。

据悉，在这53个漏洞中，17个被评为严重，34个高危，1个中危，1个低危。

17个严重漏洞：

Scripting Engine Memory Corruption Vulnerability (CVE-2018-8242)

Edge Memory Corruption Vulnerability (CVE-2018-8262)

Edge Memory Corruption Vulnerability (CVE-2018-8274)

Scripting Engine Memory Corruption Vulnerability (CVE-2018-8275)

Scripting Engine Memory Corruption Vulnerability (CVE-2018-8279)

Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8280)

Scripting Engine Memory Corruption Vulnerability (CVE-2018-8283)

Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8286)

Scripting Engine Memory Corruption Vulnerability (CVE-2018-8288)

Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8290)

Scripting Engine Memory Corruption Vulnerability (CVE-2018-8291)

Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8294)

Scripting Engine Memory Corruption Vulnerability (CVE-2018-8296)

Chakra Scripting Engine Memory Corruption Vulnerability (CVE-2018-8298)

Microsoft Edge Memory Corruption Vulnerability (CVE-2018-8301)

Microsoft Edge Information Disclosure Vulnerability (CVE-2018-8324)

PowerShell Editor Services Remote Code Execution Vulnerability (CVE-2018-8327)

[thehackernews]

幽灵安全漏洞Spectre 1.1新变种曝光

来自麻省理工的 Vladimir Kiriansky 和咨询公司 Carl Waldspurger 的两位安全研究人员，刚刚发布了一篇揭露臭名昭著的“幽灵”（Spectre）安全漏洞新变种的论文，因其会产生投机性的缓冲区溢出。论文中，两人解释了他们新发现的这个变种（Spectre 1.1 / CVE-2018-3693）可以如何攻击和防御。

对于处理器厂商来说，年初被曝光的该漏洞、以及后续陆续出现的多个其它变种，着实令业界感到头疼。而最新的 Spectre 1.1 漏洞，则利用了投机性的缓冲区溢出。

[softpedia]

【Web安全】

全网超3万网站内置挖矿代码

据区块律动Block Beats的统计，在全球排名前1万的网站中，有2.2%的网站植入了恶意挖矿代码；截至7月9日，全网有超过3万家网站内置了挖矿代码，只要用户打开网站进行浏览等操作，相关代码便会调用设备资源进行挖矿。  

而根据Adguard的数据统计，全球约有5亿台电脑曾被绑架挖矿。  

当浏览的网站进行挖矿时，电脑或者手机会莫名其妙发烫，所以，当自己的设备经常会出现这种情况的时候，就得好好思考下会不会是浏览的网站出现问题了。

[IT之家]

【国内资讯】

京东回应斐讯事件严禁0元购宣传推广

斐讯0元购合作方联璧金融被查后，大量0元购的用户今日赴京东总部维权。  

京东对此回应称：  

京东仅是斐讯硬件产品的销售平台，从未与斐讯相关的互联网金融平台联璧金融存在任何形式的合作，也从未引导消费者至该平台进行投资理财。  

京东表示，由于斐讯“0元购”的参与方联璧金融已经被公安部门立案调查，京东将会配合相关部门督促斐讯妥善解决好用户投诉及售后问题，最大可能避免消费者的损失。

[bianews]