各位 Buffer 早上好，今天是 2018 年 5 月 14 日星期一，农历三月廿九。今天的 BUF 早餐内容主要有：TreasureHunter PoS恶意软件的源代码被泄露到网上；Google Chrome 66稳定版更新：修复四大严重安全漏洞；26％的公司忽略安全漏洞，借口是没有时间去修复；央视曝光：170号段手机号加价50元就可不实名。

【网络安全】

TreasureHunter PoS恶意软件的源代码被泄露到网上

Flashpoint的安全专家确认，TreasureHunter PoS恶意软件源代码的确从三月份开始就被泄露在网上。研究人员发现这个病毒至少在2014年年底就已经出现。TreasureHunt首先被SANS研究所的研究人员发现，他们注意到恶意软件会生成互斥体名称以逃避检测。

TreasureHunt列举在受感染系统上运行的进程并实施内存抓取功能来提取信用卡和借记卡信息。被盗的支付卡数据通过HTTP POST请求发送给C&C服务器。FireEye的专家分析了这些恶意软件后发现，黑客会利用弱口令入侵PoS系统。一旦TreasureHunt恶意软件感染系统，它会将自身安装到“%APPDATA%”目录中并通过创建注册表项来保证驻留系统：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jucheck

Flashpoint研究人员在俄语论坛上发现了TreasureHunter的源代码，发布代码的人还泄露了用户界面和管理员面板的源代码。PoS恶意软件的开发者似乎是一位精通英语的俄国人。可怕的是黑客可以通过源代码构建自己的病毒，从而导致攻击的种类和多样性大大增加。发布TreasureHunter的黑客也说，其他黑客可以根据自己的需求修改源码。[来源：SecurityAffairs]

【企业安全】

26％的公司忽略安全漏洞，借口是没有时间去修复

上个月在RSA安全大会上收集的一项调查显示，尽管大多数公司都采取了合适的安全措施，但其中一些公司甚至故意忽视安全缺陷，其原因包括缺乏时间和缺乏专业技术等各种原因。

该调查汇集了来自RSA会议公司的155位安全专业人员的答案，结果显示只有47％的组织在得知消息后立即修补漏洞。最令人担忧的是，部分公司在漏洞出现之后等待相当长的一段时间才打好补丁，导致他们的IT基础设施遭受攻击。更准确地说，16％等待一个月，而8％的人表示他们每年只进行一次或两次补丁。

调查显示，并非所有公司都使用补丁。大约26％的受访者表示，他们的公司忽视了一个严重的安全漏洞，因为他们没有时间去修复它。更有甚者，16％的组织表示他们也忽略了一个严重的安全缺陷，因为他们没有技术来修补它。[来源：FreeBuf]

【Web安全】

Google Chrome 66稳定版更新：修复四大严重安全漏洞

本周四Google发布了Chrome 66稳定版维护更新，最新版本号为v66.0.3359.170，目前已经面向Linux、Mac和Windows三大平台开放，重点修复了一些非常严重的安全问题。Google Chrome 66.0.3359.170版本目前共修复了4个安全漏洞，包含能够从沙盒中逃逸的高危漏洞、一个在扩展程序的提权漏洞、一个在V8 JavaScript引擎中类型混乱问题以及PDF查看器PDFium中的堆缓冲区溢出问题。

目前Google并未对外披露具体有多少用户受到这些漏洞影响，官方日志中写道：“在大部分用户安装修复补丁之后我们会公布BUG的细节和链接信息。如果这些BUG依然存在于其他项目所依赖的第三方库中我们也会选择保留。”

除了上文提及的安全漏洞之外，Chrome 66.0.3359.170同时还包含了其他大量修复，因此推荐Chrome用户尽快完成升级，避免被黑客有机可乘。[来源：cnBeta]

【数据安全】

IBM禁止使用可移动驱动器来传输数据

IBM据称已经发布全球禁令，禁止使用可移动驱动器（包括Flash，USB和SD卡）来传输数据。这项新政策正在制定中，以防止由于放错位置或不安全的存储设备而泄露机密和敏感信息。

根据TheRegister的一份报告  ，IBM全球首席信息安全官Shamla Naidoo发布了一项公告，称该公司“正在扩大禁止向所有可移动便携式存储设备（例如：USB，SD卡，闪存驱动器）传输数据的做法”。

该咨询进一步表明，这项政策已经对一些部门有效，但将在整个公司进一步实施。TheRegister的报告称，这个更严格的政策的原因是为了防止“由于放错地方，丢失或滥用的可移动便携式存储设备，造成的财务和声誉损失必须最小化。”

相反，建议IBM员工使用IBM的“同步”和“共享”服务在员工和设备之间传输数据。[来源：BleepingComputer]

【国内新闻】

央视曝光：170号段手机号加价50元就可不实名

根据央视新闻的报道，工信部决定自2018年5月1日起，将移动通信转售业务由试点期转为正式商用，也就是170号段的虚拟运营商的正式牌照在“五一”之后开启正式申请。央视记者经调查得知，170号段的虚拟号码，如果加价50到100元的话，可以不用实名购买。

据悉，央视记者走访了北京西三环公主坟东侧的手机大世界和北京北三环南侧的马甸邮币卡市场，商贩表示170号段的虚拟号码，如果加价50到100元的话，可以不用实名购买。

随后，央视咨询了有关部门，工作人员表示，虚拟运营商的牌照都是工信部直接发放的，因为我们没有他们的联系方式，什么都没有。如果我们反映到工信部里面，找到这个虚拟运营商对应的厂家，我们也可以找他们来约谈，然后来处罚他们。但是这个职责，划分得确实不是很明确。[来源：IT之家]

*本文由Andy.i 整理编译，转载请注明来自FreeBuf.COM