各位 Buffer 早上好，今天是 2019 年 02 月 25 日星期一。今天的早餐铺内容有：成人网站用户的恶意软件在2018年大量增长；微软发布安全警告：Windows Sever容易受到DoS攻击；近五十万印度德里居民信息泄露；Google 研究人员称光靠软件不能完全避开 Spectre 漏洞；苹果为Safari 12.1更新智能追踪防护功能 。

成人网站用户的恶意软件在2018年大量增长

有研究显示，浏览成人网站的用户常常暴露在恶意软件攻击、钓鱼、恶意垃圾邮件轰炸乃至账号被窃取并在暗网售卖等风险中。卡巴斯基实验室的报告显示，2018年，成人网站用户所遭遇的恶意攻击激增，其中专门窃取用户凭证的攻击增长了三倍。相比之下，在网络中随意搜索成人内容的用户所遭遇的攻击比2017年降低了36%。报告显示，以窃取凭证为主的恶意软件主要集中在以PornHub和XNXX.为主的成人网站中。攻击次数超过85万次，全球共有约11万台电脑中招。 [来源：bleepingcomputer]

微软发布安全警告：Windows Sever容易受到DoS攻击

近日微软在安全响应中心发布安全警告，称Windows Sever和Windows 10 server都容易受到DoS攻击。具体说来，所有运行IIS（互联网信息服务）的Windows Server 2016、Windows Server Version 170、Windows Server Version 1803以及Windows 10 (1607、1703、1709和1803版本)都会受遭遇该DoS攻击。这主要是因为ISS中存在资源耗尽bug，会触发DoS条件，被潜在的远程攻击者利用。这个bug会“临时导致系统CPU使用率蹿升至100%，直到恶意链接遭IIS杀死。”微软在安全通告中指出，目前尚未有针对该漏洞（由F5 Networks公司研究员Gal Goldshtein报告）的缓解措施或变通措施。并建议用户参考二月份的非安全更新建议，及时更新以确保安全。[来源：bleepingcomputer]

近五十万印度德里居民信息泄露

安全研究人员近期发现一个不安全的服务器，泄露将近50万印度居民的信息。此次泄露又与MongoDB有关，由于公司不当配置，将信息不加保护就放在网上，不用密码就可访问。数据疑似与一家名为Transerve Technologies的公司有关，涉及家庭信息、注册用户、用户详情等。据称包含信息的数据库共有4.1G大小，包含印度德里地区近50万居民的印度身份证信息和投票ID，还有邮箱地址、哈希密码以及用户名等信息。虽然研究人员联系了该公司并反馈了问题，但并未得到回应。[来源：thehackernews]

Google 研究人员称光靠软件不能完全避开 Spectre 漏洞

Google 研究人员警告，除非对 CPU 设计进行大幅的修改，否则很难在未来避开 Spectre 漏洞。Google Chrome V8 JavaScript 引擎团队开发者在预印本网站 ArXiv 发表论文，报告了他们的发现。研究人员指出，光靠软件不能完全避开 Spectre 漏洞。他们得出结论，所有执行预测执行的处理器总是容易受到不同边信道攻击的影响，即使未来可能发现缓解方法。恶意程序能够利用 Spectre 漏洞来窃取其它程序执行时储存在内存中的敏感数据。要真正解决现有和未来的 Spectre 漏洞，CPU 制造商需要提出新的 CPU 微架构设计。 [来源：solidot]

苹果为Safari 12.1更新智能追踪防护功能

早前有报道称，苹果将在 Safari 12.1 中移除“请勿追踪”（Do Not Track）的选项，转而为用户提供更加智能的追踪防护体验。现在，根据苹果 WebKit 博客上分享的信息 —— iOS 12.2 beta、以及 macOS High Sierra / Mojave 系统中的 Safari 12.1，已经包含了更新后的智能追踪防护功能。正如苹果所述，ITP 2.1 将客户端 Cookie 的存储期限设置为 7 天。在此之后，Cookie 将会过期。苹果表示，这么做是为了提供隐私、安全和性能方面的改进。 [来源：cnbeta]