各位Buffer早上好，今天是2018年10月9日星期二，农历九月初一。今天的早餐铺内容有：Git中的远程代码执行漏洞已被修复，多个工具受影响；法律禁止默认密码“admin"，“无意入侵”没那么容易了；美国国土安全部警告称网络安全将威胁农业产业；Facebook泄露用户信息曾被以数字货币形式在暗网出售；CoinHive挖矿劫持仍在肆虐，超3万台印度路由器遭挖矿软件劫持。

                                                                       安全资讯早知道，两分钟听完最新安全快讯~

Git中的远程代码执行漏洞已被修复，多个工具受影响

Git 项目组于前两天公布了一个在 Git 命令行客户端、Git Desktop 和 Atom 中发现的任意代码执行漏洞，这是一个比较严重的安全漏洞，可能会使得恶意仓库在易受攻击的计算机上远程执行命令。

这个漏洞已被分配 CVE-2018-17456 这个唯一 ID，与之前的 CVE-2017-1000117 可选注入漏洞相似 —— 恶意仓库可以新建一个 .gitmodules 文件，其中包含以破折号开头的 URL。GitHub-logo.png通过破折号，当 Git 使用 --recurse-submodules 参数来克隆仓库时，该命令会将 URL 翻译为一个选项，然后可以使用该选项在计算机上进行远程代码执行。

当运行 "git clone --recurse-submodules" 时，Git 会解析 .gitmodules 文件中的 URL 字段，然后将其作为参数传递给 "git clone" 子进程。如果 URL 字段是一个字符串，并使用短划线开头，这个 "git clone" 子进程将会把 URL 翻译为一个选项。这可能导致用户运行 "git clone" 时，会执行 superproject 中的任意脚本。[bleepingcomputer]

法律禁止默认密码“admin"，“无意入侵”没那么容易了

加州通过了一项法律，2020 年之后禁止在所有新的消费电子产品中使用“admin”、“123456”和经典的“password”这样的默认密码。

从路由器到智能家居技术在该州建造的每个新设备都必须具有开箱即用的“合理”安全功能，法律特别要求每个设备都带有“每个设备独有的”预编程密码。它还要求任何新设备“包含一个安全功能，要求用户在首次授予设备访问权限之前生成新的身份验证方法”，在第一次打开是强制用户将其唯一密码更改为新的密码。此举能够有效防止僵尸网络的问题。[cnbeta]

美国国土安全部警告称网络安全将威胁农业产业

近期美国国土安全部发布一份报告，称由于新兴技术的普及，网络安全风险已然扩散到了农业领域。

由于现下农业产业大规模使用物联网设备，例如远程传感器、GPS等等，通过各类设备对农作物进行监测以及分析，以提高产量。因此也会面临相当大的网络威胁，黑客可能会通过精确打击对农业产业进行攻击。[bleepingcomputer]

Facebook泄露用户信息曾被以数字货币形式在暗网出售

上月Facebook发生大规模安全漏洞，约5000万用户信息遭泄露。近期，这些账户信息被通过名为Dream Market暗网以数字货币的形式出售，售价为3到12美元不等。不过，目前暗网上卖家已删除了该交易信息。[bianews]

CoinHive挖矿劫持仍在肆虐，超3万台印度路由器遭挖矿软件劫持

截止到10月5日，黑客已经破解了超过3万台路由器。被植入浏览器的恶意挖矿脚本为CoinHive，黑客利用它通过用户浏览器来挖掘门罗币。

据统计,目前所有被劫持电脑一个月内产出价值约25万美元的门罗币。降维安全曾爆出印度地方政府网站已成为黑客的目标，超过119个印度网站被植入了CoinHive。[bianews]