各位Buffer早上好，今天是 2018 年 9 月 13 日星期四，农历八月初四。今天的早餐铺内容有：微软与 Adobe 发布多个安全更新；谷歌发布 Chrome 安全更新，取消网址的“安全”标识；瑞士数据管理公司 Veeam 泄露 4.45 亿条用户数据；僵尸网络 Mirai 和Gafgyt 最新变种目标瞄准企业网络；Edge 与 Safari 浏览器存在安全风险，合法 URL 可被注入恶意内容；江苏一高校2000多学生信息遭泄露，疑被企业用于偷逃税款。

以下请看详细内容：

微软与 Adobe 发布多个安全更新

微软在 9 月 的修复日一共修复了 61 个漏洞，其中 17 个评级为严重，43 个评级为重要，1 个评级为普通。修复的产品包括 Windows、Edge、IE浏览器、Office、ChakraCore、.NET Framework、Microsoft.Data.OData、ASP.NET 等。在补丁发布之时，只有四个是已经“公开通知”的，其余漏洞则很可以已经在野利用。在 17 个严重漏洞中，Windows RCE 漏洞（CVE-2018-8475）、Windows ALPC 提权漏洞（CVE-2018-8440）、Scripting Engine 内存崩溃漏洞（CVE-2018-8457）以及 Windows Hyper-V 中的两个严重远程代码执行漏洞影响较大，用户应尽快修复。

同时，Adobe 共修复了 Flash 播放器和 ColdFusion 中的 10 个漏洞，其中有 6 个为高危，可被攻击者利用实现远程执行任意代码。[来源：thehackernews]

瑞士数据管理公司 Veeam 泄露 4.45 亿条用户数据

近日，安全研究人员在网上发现了一个公开的数据库，其中存储着超过 200 G 的数据，但没有任何安全防护。200 G 的内容包含瑞士智能数据管理服务商 Veeam 的大量用户信息，包括姓名、邮箱地址、居住国等。此外，市场份额、用户类型、企业规模、IP 地址、用户代理等企业信息也暴露无余。数据具体暴露的时间尚不清楚，但研究人员表示，自己 9 月 5 日才发现该数据库，而存储数据库的服务器 IP 在 8 月 31 日就已经有人搜索。目前 Veeam 已经发布公告，正在调查事件详情。[来源：bleepingcomputer]

谷歌发布 Chrome 安全更新，取消网址的“安全”标识

谷歌发布了 Chrome 69.0.3497.92 最新版本，适用于 Windows、MAC、Linux 等系统。新版本修复了一些漏洞，并取消了网址前的“安全”标识。Chrome 69 将不会再特地将HTTPS网站标记为“安全”，而是改在采用HTTP标准协议的网站旁标注“不安全”。这么做的目的是让用户了解不安全的网站，从而进一步推进全网加密。随着Chrome 70即将在10月份发布，当用户输入数据时，HTTP 站点将显示一个红色的“不安全”警告。[来源：us-cert]

僵尸网络 Mirai 和Gafgyt 最新变种目标瞄准企业网络

Palo Alto Networks 公司旗下 Unit 42 威胁研究团队在 9 月 9 日发布的一篇博文中指出，他们发现臭名昭著的物联网僵尸网络 Mirai 和 Gafgyt 的新变种。新的 Mirai 变种针对的是与 2017 年 Equifax 数据泄露事件相关的 Apache Struts 漏洞，而新的 Gafgyt 变种针对的是一个最近才被公开披露的漏洞，该漏洞会影响到不再受支持的旧版 SonicWall 全球管理系统（GMS）。Unit 42 团队发现，Mirai 和 Gafgyt 这些物联网僵尸网络已经将目标从普通用户转向企业用户，造成 DDoS 等威胁。[来源：bleepingcomputer]

Edge 与 Safari 浏览器存在安全风险，合法 URL 可被注入恶意内容

安全研究员发现 Edge 和 Safari 浏览器中存在漏洞，可被利用向合法 URL 中注入恶意内容。攻击者利用这个漏洞，可以上传合法页面，让页面地址隐藏到“URL”导航栏中并替换代码 ，同时原版的 URL 的原地址不会更改，依然显示正常。随后，攻击者会创建虚假登录页面或其他论坛，用于搜集用户的用户名、密码和其他数据。目前，微软已经修复了 Edge 浏览器的漏洞，而苹果经过一段时间依旧没有修复。[来源：theregister]

江苏一高校2000多学生信息遭泄露，疑被企业用于偷逃税款

据中国之声《新闻纵横》报道。又是一年开学季，不少准毕业生为找工作忙的是焦头烂额，发出了毕业即失业的感叹，然而江苏常州大学怀德学院的部分学生却恰恰相反，没有找到工作的他们却发现自己“被就业”了。

近日，有网友在社交媒体发布消息称，江苏常州大学怀德学院发生大规模学生信息泄露事件，上千名学生信息被不法企业盗用。记者调查发现，泄露信息的学生人数超过2600名，企业涉及省内多地，信息疑被企业用于偷逃税款。

记者从靖江市公安局得知，在接到怀德学院学生报警后，靖江警方高度重视，立即启动重大案件侦查机制，迅速对案件立案调查。目前，专案组正在调查取证，调查进展将及时向社会公布。[来源：新华网]

*AngelaY 编译整理，转载请注明来自 FreeBuf.COM