各位Buffer早上好，今天是2018年9月21日星期五，农历八月十二。今天的早餐铺内容有：新蛋网用户信用卡数据泄漏，恶意代码存在约1个月；西数NAS出现严重安全漏洞，攻击者可获得完整访问权限；超过3000个网站的访问权限在俄罗斯黑市上出售；Adobe发布针对Adobe Reader和Acrobat的重要安全更新；最高法五年工作规划：拟出台相关司法解释，保护个人信息权；研究报告指出加密货币未必安全，相关非法活动比去年多459%。

安全资讯早知道，两分钟听完最新安全快讯~

以下请看详细内容：

新蛋网用户信用卡数据泄漏，恶意代码存在约1个月

有安全研究人员发现，黑客将15行银行卡盗刷代码植入新蛋网支付页面，从8月14月-9月18日，代码一直存在。这种恶意代码从用户手中窃取信用卡数据，传输到由黑客控制的服务器。黑客的代码同时影响桌面端和移动端用户，只是目前还不清楚移动端用户是否已经受到影响。

安全研究人员指出，攻击新蛋网的方式十分巧妙，伪装极好，与最近英国航空公司（British Airways）信用卡泄露事件、以及之前发生的Ticketmaster泄露事件有些类似。有人将新蛋网数据泄露事件归咎于黑客团体Magecart，他们喜欢针对有漏洞的网站发起攻击。[来源：thehackernews]

西数NAS出现严重安全漏洞，攻击者可获得完整访问权限

西部数据（Western Digital）广受欢迎的 My Cloud 系列网络附加存储（NAS）设备，近日曝出了一个严重的安全漏洞，导致攻击者可以完全访问设备里的内容。荷兰安全研究员 Remco Vermeulen 刚刚分享了有关该问题的“特权提升攻击报告”，另一位同行亦表示早已披露了其它攻击的详细信息，但西数迄今未给出固件更新。

Remco Vermeulen 指出：身份验证绕过漏洞允许攻击者在登录设备之前获得管理员权限，他们只需创建反向 shell，便可访问驱动器上的用户文件。[来源：cnBeta]

超过3000个网站的访问权限在俄罗斯黑市上出售

Flashpoint的研究人员发现使用俄语的地下黑客论坛正在出售超过3000个网站的访问权限，有些网站访问权限的售价最低为20美分。按照卖家的说法，买家可以掌握网站的PHP shell、托管控制、域控制、文件传输协议（FTP）、安全套接字Shell（SSH）、管理面板和数据库。

大多数被出售的网站都是电子商务网站，少量为医疗保健、法律、教育和保险行业以及属于政府机构和组织的网站。[来源：securityaffairs]

Adobe发布针对Adobe Reader和Acrobat的重要安全更新

上周Adobe发布了9月的月度补丁，包含6个关键更新。看起来他们漏了了一个，昨晚Adobe发布了针对Adobe Acrobat和Adobe Reader中关键漏洞的重要安全更新。

Adobe发布的APSB18-34安全公告描述了漏洞的信息，这是一个越界写入漏洞（CVE-2018-12848），可实现未经许可的代码运行，上周发布的补丁针对的是6个可导致信息泄露的越界访问漏洞。[来源：BLEEPINGCOMPUTER]

最高法五年工作规划：拟出台相关司法解释，保护个人信息权

随着个人信息泄露事件的增多，人们对个人信息保护的需求也不断高涨。近日，最高人民法院发布《关于在司法解释中全面贯彻社会主义核心价值观的工作规划（2018-2023）》（以下简称《规划》）。《规划》明确规定，要及时出台审理个人信息权纠纷案件适用法律问题的司法解释，保护个人信息权。

“以前民法和行政法律规则不健全，只能依靠刑法规则，但是仅仅依靠刑事法律打击犯罪并不能真正有效地提升企业的数据安全管理水平。现在最高法拟出台审理个人信息权纠纷案件的司法解释，提供民事救济渠道，将进一步完善我国个人信息权利保护框架下公力救济和私力救济机制。”上海社会科学院信息研究所助理研究员张衠表示。[来源：安全内参]

研究报告指出加密货币未必安全，相关非法活动比去年多459%

网络安全机构Cyber Threat Alliance在周三公布的研究报告中指出，比特币未必安全，黑客利用软件漏洞，非法“劫持”其它设备的计算力，从事门罗币（Monero）、比特币等加密货币挖矿活动，而且这个漏洞是利用了美国政府机构的黑客工具。

报告中说，在加密货币挖矿领域，2018年发生的违法事件比2017年多出459%。之所以创下新高，与2017年发生的“永恒之蓝”（Eternal Blue）泄露事件有着密切的关系。“永恒之蓝”是一种黑客工具，它可以从老旧微软系统中找到漏洞并加以利用。黑客可以利用这种工具，霸占其他人的计算力来生成数字货币。[来源：cnBeta]

*Freddy 编译整理，转载请注明来自 FreeBuf.COM