*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

世界读书日，看 PHP 好还是看 Java 好呢？

各位 Buffer 早上好，今天是 2018 年 4 月 23 日星期一，农历三月初八，欢迎收看 BUF 早餐铺。今天的内容主要有：私人情报机构 LocalBlox 泄露 4800 万份个人数据记录；Chrome 商店存在恶意的广告屏蔽器，可能影响超过 2000 万用户；思科发布重要补丁修复其 WebEx 软件中的远程代码执行漏洞；LinkedIn 信息自动填充功能存在漏洞，可被黑客利用窃取信息；国内科技厂商 360 发现全球首例使用浏览器 0day 漏洞的 Office 攻击；国家工业信息安全发展研究中心：做好新时期新形势下的工业信息安全工作，切实维护国家安全。

安全资讯早知道，两分钟听完最新安全快讯~

以下请看详细内容：

【国际时事】

私人情报机构 LocalBlox 泄露 4800 万份个人数据记录

私人情报机构 LocalBlox 在 AWS 云存储上的内容公开，高达 1.2 TB，4800 万份个人数据记录遭泄露。泄露的信息包括姓名、地址、生日、工作经历、消费历史等，大多从 Facebook、领英、Twitter 乃至 Zillow 等多个渠道搜集而来。这是继剑桥分析公司  Facebook 泄露丑闻之后的又一起较大的数据泄漏事件。[来源：Securityaffairs]

Chrome 商店存在恶意的广告屏蔽器，可能影响超过 2000 万用户

一位安全研究人员发现，谷歌 Chrome 商店中已有至少 2000 万用户安装了五款恶意性质的广告拦截器。Chrome 商店中存在许多恶意的插件，可以获取用户在网上的一切行为，还能窃取受害者访问的任何网站的信息，包括密码、网页浏览记录和信用卡信息等。

这些五款恶意的广告屏蔽插件都是合法广告拦截器的复制版本，在名称和说明中添加了热门关键词，以便在搜索中排在前列。接到报告后，谷歌迅速移除了这五款插件：AdRemover for Google Chrome™ (1000万+ 用户)、uBlock Plus (800万+ 用户)、[Fake] Adblock Pro (200万+ 用户)、HD for YouTube™ (40万+ 用户)、Webutation (3万+ 用户)。提醒相关用户尽快自查并卸载，保护好个人信息。[来源：TheHackerNews]

【漏洞攻击】

思科发布重要补丁修复其 WebEx 软件中的远程代码执行漏洞

近日，思科发布了更新补丁，修复其 WebEx 软件中的远程代码执行漏洞（CVE-2018-0112）。黑客可以利用这个漏洞，通过特制的 Flash 文件攻击目标计算机。不论是客户端版本还是服务器版本的 WebEx Business Suite 或 WebEx Meetings 都会受到影响。按照 CVSS 评分，这个漏洞得分为 9.0，属于高危、严重级别。

漏洞最初由 ENISA 的研究员 Zacharis 发现，在有人使用 Flash 文件分享功能时，攻击者提交恶意 Flash 文件（.swf）就能触发这个远程代码执行漏洞。思科表示，目前尚未有在野利用实例。[来源：Securityaffairs]

LinkedIn 信息自动填充功能存在漏洞，可被黑客利用窃取信息

芝加哥一名 18 岁的白帽子发现并报告了 LinkedIn 网站中信息自动填充按钮的严重漏洞，攻击者可以利用这个漏洞收集 LinkedIn 用户信息，包括姓名、电话、邮箱、邮编、公司和职位等隐私信息。

这个漏洞存在于 LinkedIn 自动填充功能中，某些公共工作门户或私人工作应页面上的“自动填充LinkedIn”按钮需要这项功能来实现。恶意网站可以在页面中植入一个插件，只要用户登录领英时点击网页，就会触发隐藏的“根据领英信息自动填写”按钮，导致数据泄露。领英对此的解决方法是添加一些网站白名单，但没有采取其他措施。这表明，用户信息仍有泄露风险。[来源：bleepingcomputer ]

【国内新闻】

国内科技厂商 360 发现全球首例使用浏览器 0day 漏洞的 Office 攻击

近日， 360 安全中心在全球范围内监测到一例使用0day漏洞的APT攻击，经分析发现，该攻击是全球首个使用浏览器0day漏洞的新型Office文档攻击。只要打开恶意文档就可能中招，被黑客植入后门木马甚至完全控制电脑。

通过分析溯源，360已完整捕获黑客攻击过程，第一时间向微软报告浏览器0day漏洞细节，并将该漏洞命名为“双杀”漏洞。“双杀”漏洞可影响最新版本的IE浏览器及使用IE内核的应用程序。提醒相关用户，请勿随意打开陌生的Office文档，同时使用安全软件防护可能出现的攻击。[来源：cnBeta]

国家工业信息安全发展研究中心：做好新时期新形势下的工业信息安全工作，切实维护国家安全

近日，国家工业信息安全发展研究中心工作人员发文表示，要响应习近平总书记在党的十九大报告中提出的“坚持总体国家安全观”要求，做好新时期新形势下 的工业信息安全工作，切实维护国家安全。。当前，随着云计算、大数据、人工智能等新一代信息技术与制造技术加速融合，工业信息安全形势日趋严峻，亟须加快提升工业信息安全保障能力，为工业生产安全和两化融合健康发展撑起“保护伞”，为制造强国和网络强国战略实施筑牢“防护墙”。[来源：中央人民广播电台]

习近平出席全国网络安全和信息化工作会议并发表重要讲话

4月20日至21日，全国网络安全和信息化工作会议在北京召开。中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化委员会主任习近平出席会议并发表重要讲话。

在会上，习近平强调，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。要落实关键信息基础设施防护责任，行业、企业作为关键信息基础设施运营者承担主体防护责任，主管部门履行好监管责任。要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为，切断网络犯罪利益链条，持续形成高压态势，维护人民群众合法权益。要深入开展网络安全知识技能宣传普及，提高广大人民群众网络安全意识和防护技能。[来源：腾讯新闻]

*AngelaY 编译整理，转载请注明来自 FreeBuf.COM