BUF早餐铺 | 谷歌3月修复安卓中大量漏洞;全球半数邮件服务器受漏洞影响;Nike网站出现漏洞;用户称苹果技术顾问窃取用户信息并敲诈勒索

2018-03-08 161556人围观 ,发现 2 个不明物体 资讯

广大女性的节日,爱心早餐是个好礼物哦。女同胞们节日快乐!

各位 Buffer 早上好,今天是 2018 年 3 月 8 日星期四,农历正月二十一。今天是妇女节,向广大女同胞致敬。安全圈也有很多美丽善良、踏实上进、坚韧可靠的女同胞呢,节日快乐!今天的 BUF 早餐依然丰盛:谷歌发布 3 月份安全更新,修复安卓中大量严重和高危漏洞;Chrome 65 发布,增添新安全功能并修复 45 个安全漏洞;Exim 中一个漏洞影响全球半数邮件服务器;Nike网站漏洞暴露敏感的服务器数据;新的面部识别技术 Face Flashing 面世;用户称苹果技术顾问窃取用户信息并敲诈勒索。

早餐

以下请看详细内容:

【国际时事】

谷歌发布 3 月份安全更新,修复安卓中大量严重和高危漏洞

近日,谷歌发布了 3 月份的安全更新,修复安卓中大量严重和高危漏洞。其中,大部分漏洞可被攻击者利用,在受感染设备上执行远程代码。媒体框架、安卓系统、内核、NVIDIA 显卡、高通组件等都受到影响。

timg.jpg

3 月 1 日发布的安全公告中修复了 16 个严重或高危漏洞;3 月 5 日的更新公告中修复了 21 个漏洞,其中仅 3 个为严重级别。此外,谷歌还修复了 Pixel 和 Nexus 设备中的 40 个漏洞。

修复详情可以参考谷歌的修复公告[来源:SecurityWeek]

Chrome 65 发布,增添新安全功能并修复 45 个安全漏洞

昨天,谷歌发布了 Chrome 65,增添了可屏蔽标签下重定向的新 API 功能并修复了 45 个安全漏洞。

chrome-ctrl-shift-q-100712060-large.jpg

据了解,新的 API 中最重要的一个是屏蔽标签下重定向(即在新标签页中打开链接却将原本的标签页重定向到了新的链接)。标签下重定向常常被恶意广告利用,可以绕过 Chrome 的内置弹窗广告屏蔽功能,让广告商打开多个标签,给用户推送多个产品、服务、网站等。

而 Chrome 65 中的新功能可以屏蔽掉这个标签下重定向功能,给用户带去更清爽的体验。

修复的 45 个漏洞中有 9 个高危漏洞,可以点击 Chrome 的公告链接查看并更新。[来源:bleepingcomputer]

【安全漏洞】

Exim 中一个漏洞影响全球半数邮件服务器

在邮件服务器上运行的邮件传输代理软件 Exim 中出现了一个远程代码执行漏洞(CVE-2018-6789),使得邮件服务器面临安全风险。据调查显示,全球有 56% 的邮件服务器运行 Exim,都可能受到影响。

Email-Exim.png

这个漏洞认证前远程代码执行漏洞,由 Exim 64 位编码功能中的缓冲区溢出而导致。攻击者可以利用这个漏洞,在服务器认证之前就执行远程恶意代码,影响之前所有发布过的 Exim 版本。

这个漏洞由台湾安全研究人员发现,在 2 月 2 日就已经上报给 Exim 员工。随后,Exim 在 2 月 10 日发布了 4.90.1 版本作为修复。不过,由于全球使用 Exim 的邮件服务器数量较多,完全修复可能需要几周甚至几个月的时间。[来源:bleepingcomputer]

Nike 网站漏洞暴露敏感的服务器数据

2017 年年底,18 岁的研究人员 Corben Leo 发现 Nike 官网存在一个漏洞,使用几行代码就能利用这个漏洞,获取密码等服务器数据,甚至进一步访问该公司的隐私系统。

nike-hero.jpg

图片来源:CNET/CBS Interactive

该漏洞基于带外 XML 外部实体(OOB-XXE)漏洞,利用耐克网站解析基于 XML 的文件的方式,允许研究人员直接在服务器上读取文件。人们普遍认为 OOB-XXE 漏洞复杂且难以执行,但可用于深入访问服务器获。一旦获取到服务器文件,就可能执行远程代码或者转向其他连接的服务器或数据库。这很可能导致系统中的敏感信息泄露。

上报漏洞后,Nike 长达三个月没有回应,而 Corben 联系媒体之后,Nike 才表态。目前,Nike 表示这个漏洞位于 MyNikeTeam.com 网站中,已经修复。由于 MyNikeTeam.com 网站托管在独立的服务器中,与 Nike 其他网站所在服务器不同,所以其他系统不会受到影响。[来源:ZDNet]

【安全技术】

新的面部识别技术 Face Flashing 面世

研究人员近期设置一种新的面部识别系统 Face Flashing,可以利用光影模型对人脸的反射来识别不同的人,并根据系统读取反射光线的速度来判断是否是伪造的人脸在尝试识别。

FaceFlashing认证流程.png

这个系统的主要成分是计算机,并与 LCD 屏连接(可以是电脑显示屏也可以是手机屏幕,甚至是安全入口处的认证面板)。系统会向人脸投射一种灯光模型,旁边的照相机会拍下并记录灯光对人脸的反射方式,并将数据传输到内部的实时检测模型,然后转成实际面部识别特征。在这个系统中,最重要的因素就是反射的光影。这与之前的生物识别方式不太相同,算是一个进步。不过也有专家认为仅仅依赖光影模型可不如声称的那么安全。[来源:bleepingcomputer]

【国内新闻】

用户称苹果技术顾问窃取用户信息并敲诈勒索

近日,有网友@美国往事1999发布微博称自己2月28日向苹果官方技术顾问咨询问题发生口角后,该技术顾问利用职务之便,侵入该网友的icloud,拷贝其个人信息和资料,并威胁称如果不进一步联系,就把该用户个人信息和资料往外发,而且肯定会给该用户生活和工作上带来不便。此外,该用户的几个邮箱密码也被篡改,修改密码登陆之后又收到恐吓邮件。

苹果风波

@美国往事1999 想苹果方面提出诉求,要求尽快核实该客服的身份和部门、核实该客服拷贝走多少用户信息和资料,是否用作他用并尽快核实iCloud 是否安全。但是苹果方面似乎均以保密为由拒绝了。@美国往事1999只能报警立案。

值得注意的是,苹果官方给出的用户数据采集规范中表示,“可能使用用户个人信息(包括出生日期))来验证身份,协助识别用户并确定适当的服务。”此外,内地iCLoud 服务转到云上贵州后,也有相关条款表示会搜集用户个人信息并在必要时候分享给政府等机构。

当然,苹果一贯以高安全性著称,不知此事最后到底如何收场。[来源:FreeBuf]

*AngelaY 编译整理,转载请注明来自 FreeBuf.COM

发表评论

已有 2 条评论

取消
Loading...
css.php