雨霁风光,春分天气。千花百卉争明媚。
各位 Buffer 早上好,今天是 2018 年 3 月 22 日星期四,农历二月初六。春光大好,早餐吃起来哦。今天份的 BUF 早餐主要有:AMD确认产品存在漏洞,将发布补丁;俄最高法院要求 Telegram 必须向 FSB 提供密钥以访问用户信息; 知名在线旅行网站 Expedia 亿客行旗下的 Orbitz 网站遭入侵,880000 份支付卡信息泄露; Chrome 插件 Social Book Post Manager 可以清除社交平台发布的信息; 黑客可利用Windows远程协助窃取敏感文件;质疑个人信息遭非法搜集,用户起诉支付宝索赔2元。
以下请看详细内容:
【国际时事】
AMD确认产品存在漏洞,将发布补丁
AMD首席技术官Mark Papermaster今天证实,CTS Labs 在 3 月 12 日发布的 RyzenFall、MasterKey、Fallout 和 Chimera 漏洞确实存在,并且影响了AMD Ryzen和EPYC系列处理器。
三个漏洞--MasterKey,Fallout和RyzenFall--影响AMD平台安全处理器(PSP)这是一个类似于英特尔管理引擎(ME)的安全芯片处理器,与其他AMD产品在硬件层面上就有所不同,通常它会处理安全数据,如密码,加密密钥等。
最后一个Chimera漏洞会影响管理处理器,内存和外设之间通信的AMD芯片组(主板组件),攻击者可以执行代码并将虚假信息传递给其他组件。
AMD 表示将在“未来几周内发布补丁。”[来源:bleepingcomputer]
俄最高法院要求 Telegram 必须向 FSB 提供密钥以访问用户信息
据外媒报道,俄罗斯最高法院近日要求即时通讯及加密通信服务商 Telegram 向俄罗斯联邦安全局(FSB)提供加密密钥,以便让政府能够访问用户数据。如果 Telegram 拒绝提供,俄罗斯将在其境内封杀 Telegram。
早在 2017 年 6 月,俄罗斯政府就曾威胁要封停 Telegram,因为其不愿意遵守俄罗斯新推出的数据保护条例。7 月,为了能在俄罗斯境内正常运行,Telegram 同意了一部分协议,但当时并未分享用户数据。Telegram 创始人 Pavel Durov 认为俄罗斯政府的要求“在技术上无法实现”,而且并不符合法规。他在 2017 年 9 月离开了俄罗斯,以示对俄罗斯政府的抗议。
俄罗斯在 2016 年通过了一项反恐法规,要求俄罗斯境内所有私企将与俄罗斯公民有关的数据都存储在当地服务器中。这项法规在当时引起过轩然大波。[来源:SecurityAffairs]
【数据泄露】
旅行网站 Orbitz 遭入侵,880000 份支付卡信息泄露
Expedia亿客行是全球知名的全方位服务在线旅游网站,在 2015 年以 160 万美元收购了 Orbitz.com,增加了数百万用户。近日, Orbitz 确认网站在 2017 年 10 月 1 日 到 12 月 22 日期间遭到入侵,用户和商业伙伴的个人信息和财务数据都被窃取。泄露的具体信息包括姓名、生日、性别、电话号码、邮箱地址、实体地址和信用卡账单地址、支付卡数据等。
Orbitz 表示,现查明约有 880000 份支付卡的数据遭泄露。目前尚未有证据表明现在运行的 Orbitz 网站仍然处于风险之中,且用户的护照、旅行路线等信息也没有泄露。在 2016 年 1 月 1 日到 2016 年 6 月 22 日期间在线支付过的用户信息最有可能已经泄露,而 2016 年 1 月 1 日到 2017 年 12 月 22 日期间支付过的商业伙伴信息最有可能已经泄露。
目前,Orbitz 已经向执法部门上报数据泄露事件,调查正在进行。[来源:SecurityAffairs]
【系统安全】
黑客可利用Windows远程协助窃取敏感文件
Trend Micro 0-day 计划的研究人员发现微软的 Windows 远程协助(快速访问)功能出现严重的信息披露漏洞(CVE-2018-0878),影响目前为止所有版本的 Windows,Windows 10、 8.1、 RT 8.1 以及 7 都包括在内。利用这个漏洞,远程攻击者可以窃取目标计算机中的敏感文件。
Windows 远程协助是微软的内置工具,利用这个工具,用户与信任的人之间可以相互接管对方的计算机。这个功能原本是借由远程桌面协议(RDP)实现的。
目前,在微软 3 月份的修复日中,这个漏洞已经被修复,用户可以尽快下载补丁,更新修复。[来源:TheHackerNews]
【隐私保护】
Chrome 插件 Social Book Post Manager 可以清除社交平台发布的信息
前两天 Facebook 数据泄漏事件引起不少用户的恐慌,很多人想删除自己的账号或者抹去自己在 Facebook 中留下的信息,以表明自己清白的政治立场。但是,一条条地手动删除动态非常耗费时间。所幸有一款 Chrome 插件 Social Book Post Manager 可以自动化删除状态或者取消点赞。
在删除之前,可以在设置里将个人的动态、照片、视频、通知信息、聊天信息等内容下载到本地备份,然后再安装 Social Book Post Manager,打开 Facebook 并进入个人的活动日志(Activity Log),选择所需要删除的内容,最后打开 Social Book Post Manager 操作删除。
感兴趣的读者可以点击此处下载。[来源:bleepingcomputer]
【国内新闻】
质疑个人信息遭非法搜集,用户起诉支付宝索赔2元
近日,有网友俞先生以支付宝非法搜集个人信息为由,将支付宝告到法庭并索要赔偿。
俞先生诉称,其到北京乐友公司运营的 “乐友北京清河店”购买牙膏,并使用支付宝进行支付。支付完成后,俞先生发现支付宝的“支付完成”页面最后一行以很小的字体显示“授权淘宝获取你线下交易信息并展示”,并在其前面设置了“默认勾选”。为查询个人信息是否被泄露,俞先生在尚未对支付宝客户端进行任何进一步确认操作的情况下,立即打开淘宝客户端进行登陆查看,发现其刚刚在北京乐友公司发生的交易详细信息(包括商品信息、店铺信息、交易价格等)已经显示在淘宝客户端的订单中。随即俞先生又打开天猫客户端进行登陆查看,发现上述交易信息也已经显示在天猫客户端的订单中。为避免之后的交易行为再次被泄露,俞先生打开支付宝客户端,在刚刚的支付完成的页面上取消勾选授权,点击“完成”。此时,俞先生带着疑虑试图通过购买其他商品,验证取消授权是否确认完成。然而,在俞先生再次购买宝宝面巾纸,用支付宝客户端进行支付后,“支付完成”页面中再也找不到“默认勾选”的“授权淘宝获取你线下交易信息并展示”字样,致使其无法操作选择取消“默认勾选”,且其之后的多次交易仍然立即显示在淘宝客户端和天猫客户端的订单中。
俞先生认为,其商品交易活动、行踪等均属原告个人信息,受法律保护。北京乐友公司作为与俞先生发生商品交易的经营者,将俞先生在其店铺的交易信息非法提供给支付宝公司;支付宝作为网络支付平台,在向俞先生提供支付服务的同时非法收集其商品交易的详细信息和行踪活动,违背了网络服务经营者收集、使用个人信息应当遵循的合法、正当、必要的原则,且在未获得俞先生明示同意的前提下,还将非法收集的上述信息提供给淘宝、天猫;淘宝、天猫作为网络经营者同样违背了前述原则。四被告的上述行为共同侵犯了俞先生对其个人信息被收集、利用的知情权,以及授权他人利用的自主决定权等权利。
目前,本案正在进一步审理中。[来源:网易科技]