*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

各位 Buffer 早上好，今天是 2018 年 10 月 23 日星期二，农历九月十五。今天的早餐铺内容有：亚马逊智能家居曝出漏洞，现已修复；接受信息泄露教训：传Facebook有意收购网络安全公司；jQuery文件上传漏洞存在8年，只有黑客知道；“Satan”勒索病毒新变种在国内传播，金额为一个比特币；HealthCare.gov注册系统被黑客入侵，75000人数据遭泄露。

亚马逊智能家居曝出漏洞，现已修复

日前亚马逊曝出了起物联网操作系统FreeRTOS以及AWS连接模块存在13个安全漏洞，现亚马逊官方表示已修复这些问题。

这些漏洞的存在可能导致入侵者破坏设备，泄露内存中的内容和远程运行代码，让攻击者获得设备完全的控制权。 如果没有修复，这些漏洞可能会造成严重影响。FreeRTOS，以及以安全为导向的类似产品SafeRTOS被广泛用在家庭内外的各种设备上，包括汽车、飞机和医疗设备。这类漏洞披露并不少见，但对亚马逊来说是相对较新的工作。一年前，即2017年11月，AWS接管了FreeRTOS的核心。这是对亚马逊问题应对能力的一次考验，而目前来看亚马逊似乎通过了考验。[thehackernews]

接受信息泄露教训：传Facebook有意收购网络安全公司

据美国科技媒体The Information援引知情人士消息称，Facebook上周日已与几家网络安全公司就潜在收购事宜进行接触，收购目标尚未最终确定，但交易结果或将在今年年底宣布。 

在经历了历史上最重大的黑客攻击事件之后，催生了Facebook强化网络安全的最新举措，Facebook希望它的数十亿用户知道平台已经准备投入网络安全领域。

Facebook已经初步得出结论，假扮成数字营销公司的垃圾邮件制造者是造成大规模安全漏洞的幕后黑手。并且已经表示正在与美国联邦调查局合作，后者要求公司不要公开讨论谁是袭击的幕后主使，或者是否特别针对任何人。目前还没有理由认为这次黑客袭击与即将举行的美国中期选举有关。[cnbeta]

jQuery文件上传漏洞存在8年，只有黑客知道

jQuery的框架中存在数千个插件。尽管每个插件的使用方法都有明确的教程，但相当一部分的插件的安全问题在多年的使用时间中从未被人重视。

Akamai SIRT的安全研究员Larry Cashdollar在分析其插件的时候发现jQuery有一个文件上传漏洞存在时间长达八年之久。开发人员表示，该漏洞是由于Apache 2.3.9发生变更而引起的，该改动默认禁用存储与文件夹相关的.htaccess安全设置文件，并且除非管理员启用该文件，否则将自动忽略，因此导致攻击者可以从外部获取webshell并运行命令。

该漏洞编号为CVE-2018-9206，最新版的jQuery已修复了这个问题。[bleepingcomputer]

“Satan”勒索病毒新变种在国内传播，金额为一个比特币

近日，互联网中出现了一种新型勒索病毒，经判断后认定该病毒为最新变异的“Satan”（撒旦）勒索病毒，并且监测到其已经开始在国内传播。

新版satan病毒版本更新到了4.2。在攻击成功后，该病毒会将文件加密并修改后缀名为“sicck”，同时对攻击目标进行勒索，金额为一个比特币。这也是“Satan”勒索病毒在沉寂了两个月之后的又一次活跃在了互联网世界中。[bianews]

HealthCare.gov注册系统被黑客入侵，75000人数据遭泄露

注册系统名为联邦便民交易所（Federally Facilitated Exchanges），由医疗保险和医疗补助服务中心（CMS）联合管理，医疗保险代理人员可通过该系统将用户在HealthCare.gov的资料导入Obamacare计划中。

CMS表示从上周起（10月13日）在系统中发现了一些异常活动，并对其展开了调查，随后确认了黑客行为，约75000人信息被盗。当前该系统已被停用。

目前CMS已通知联邦调查局以及所有受影响的用户，以争取尽快解决问题。[zdnet]