BUF早餐铺 | 美国法院驳回卡巴斯基上诉;5G技术兼容SIM也带来安全风险;Windows JScript组件被曝RCE漏洞;二手手机信息泄露情况严重

2018-06-04 113123人围观 ,发现 1 个不明物体 资讯

鲜鲫银丝脍,香芹碧涧羹。

各位 Buffer 早上好,今天是 6 月 4 日星期一,农历四月廿一。今天的 BUF 早餐内容主要有:美国联邦法院法官驳回了卡巴斯基对其产品禁令的诉讼;新兴5G技术可以兼容SIM卡,给相关物联网设备带来风险;微软 Windows JScript 组件被曝 RCE 漏洞;健身应用程序 PumpUp 泄露健康数据以及私人消息;CSS网络标准新增功能,可被利用获取用户社交信息;二手手机信息泄露乱象:10元可买通讯录,几十元可恢复已经删除的数据。

安全资讯早知道,两分钟听完最新安全快讯~

timg.jpg

以下请看详细内容:

【国际时事】

美国联邦法院法官驳回了卡巴斯基对其产品禁令的诉讼

eugene-kaspersky.jpg

美国联邦法院法官 Colleen Kollar-Kotelly 本周三表态,驳回了卡巴斯基实验室关于美国政府机构禁用其解决方案的诉讼。2017 年 9 月,美国国土安全部门对卡巴斯基颁布禁令。12 月,美国总统特朗普签署法案,明确要求美国政府机构不得使用卡巴斯基的产品和服务,法案将于 2018 年 10 月1 日施行。规定联邦政府的任何部门、机构、组织或其他组成部分不得直接或通过与其他部门、机构、组织或联邦政府部门其他组成部门合作或代表他们使用由卡巴斯基实验室(实体)、控制卡巴斯基实验室或受卡巴斯基独立或共同控制的任何实体或者卡巴斯基实验室有主要控制权的任何实体所提供的产品或服务。卡巴斯基认为禁令不公而上诉,但法官认为该禁令合法,并驳回了卡巴斯基的上诉。[来源: Securityaffairs]

新兴5G技术可以兼容SIM卡,给相关物联网设备带来风险

SIM-OTA-SMS.jpg

近年来,5G 技术发展迅速,新兴的 5G 技术已经可以兼容 SIM 卡。如今,大多数可用无线连接的物联网设备(如智能工厂设备、自动车辆、移动机器人和智能手表)都可依赖于手机中使用的相同安全和身份识别方法:订户身份模块或 SIM 卡。SIM 卡的 SMS 消息通过 OTA 技术发送,可包含各种被攻击者滥用的命令。这些命令通过 5G发送时,可能会扩大滥用的几率,进而增大对物联网设备的威胁。对此,有一种应对方法是使用名为电信安全协调器( telecom security orchestrator)的 5G 平台。这个平台在电信性能级别运行时,可以解决相关的问题。[来源:趋势科技]

【漏洞攻击】

微软 Windows JScript 组件被曝 RCE 漏洞

windows-zero-day.png

Telspace Systems 公司的研究员发现微软的 Windows JScript 组件存在重要漏洞,可导致远程攻击者在用户电脑上执行恶意代码。这个漏洞的实现条件是攻击者要诱导用户访问恶意网页或者在系统上下载并打开(一般由 Windows Script Host-wscript.exe 执行)恶意 JS 文件,执行动作后,可导致特定指针在释放后遭重用,进而在当下进程中执行代码。微软目前已经收到研究人员的漏洞报告,但尚未发布补丁。[来源:Securityaffairs]

健身应用程序 PumpUp 泄露健康数据以及私人消息

high-reps.jpg

由加拿大公司开发的健身应用程序 PumpUp 将核心后端服务器托管在亚马逊云端,因配置不当而泄露信息。任何人无需密码即可实时获取其用户的登录记录、健康信息和私人消息。这台服务器原本充当消息传递代理,可以将用户请求和私人消息发到该应用的其他用户。这个代理使用的是不常见的 MQTT 协议,为暂时性协议,结果导致任何人都能看到实施数据流。目前,这个服务器已经受到安全保护。[来源:zdNet]

CSS 网络标准新增功能,可被利用获取用户社交信息

CSS-mix-blend-mode-attack.png

Cascading Style Sheets(CSS)网络标准最近增加了一些功能。安全研究人员利用这些功能,将访问者导向到演示站点,获取他们的 Facebook 用户名、头像以及他们对 Facebook 特定网页的喜好。这些信息可能被广告商利用,将 IP 地址或广告配置文件链接到真实的人身上,从而对用户的在线隐私构成严重威胁。这个功能并非只针对 Facebook 用户,而是影响所有允许通过 iframe 将其内容嵌入其他网页的网站。通过诱导用户访问攻击者搭建的将 iframe 嵌入到其他网站的恶意网站,就能实现攻击。研究人员将问题报告给 Google 和 Mozilla 后,工作人员已经在 Chrome 63 和 Firefox 60 中解决了这个问题。[来源:bleepingcomputer]

【国内新闻】

二手手机信息泄露乱象:10元可买通讯录,几十元可恢复已经删除的数据

日前,有记者调查发现有很多网友发布关于二手手机信息泄露的帖子,认为是二手手机收购商及维修商“监守自盗”的而导致信息泄露。调查发现,网上有收售二手手科技、电脑的贩子以一毛钱一条的价格打包出售机主信息。而在二手手机交易和手机维修市场中,很多维修商称只需花几十元就能恢复手机通讯录、照片、微信聊天记录等,哪怕手机被恢复到出厂设置,也可以将删除的信息复原。专家表示,要想手机信息不被泄露,通常需要从硬件安全和软件安全两方面去解决。“硬件安全就是外界所说的用水泡或者将手机砸烂。但这种方式无论从环保性还是经济性而言,成本太高。”软件安全,则是用户为了规避隐私风险,在出售手机前可以通过第三方粉碎软件将所有个人信息删除粉碎,同时需要解除手机上涉及网络支付的所有软件绑定。[来源: 凤凰网]

*AngelaY  编译整理,转载请注明来自 FreeBuf.COM

相关推荐
发表评论

已有 1 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php