各位Buffer早上好，今天是2019年4月11日星期四。今天的早餐铺内容主要有：雅虎就数据泄露案达成和解协议：金额达1.175亿美元；Mirai 新变种加入更多物联网设备；Firefox将会增加对网站指纹和加密货币挖矿脚本的保护；流行开发工具 bootstrap-sass 被修改植入后门；微软四月修复74个漏洞；澳法案强制要求企业安装“后门” ，中国外交部称坚决维护网络安全。

雅虎就数据泄露案达成和解协议：金额达1.175亿美元

据路透社报道，由于遭遇史上最大数据泄密事件，雅虎接受了一项修改后的1.175亿美元和解协议，与本案的数百万受害者达成和解。这起案件在2013至2016年间导致大约30亿帐号受到影响，而雅虎则被控在披露此事的过程中反应过慢。本案涵盖1.94亿美国人和以色列人，大约涉及8.96亿帐号。新的和解协议包含至少5500万美元支付给受害者的实付费用和其它成本，2400万美元的两年信用监控费用，和高达3000万美元的法律费用，另有最多850万美元的其他费用。[来源：sina]

Mirai 新变种加入更多物联网设备

Palo Alto Networks 的研究人员报告了物联网僵尸网络 Mirai 的新变种，它加入了四种处理器 Altera Nios II、OpenRISC、Tensilica Xtensa 和 Xilinx MicroBlaze，这些处理器被广泛用于嵌入式系统，包括路由器、网络传感器、基带无线电和数字信号处理器。新变种还修改了用于通信的加密算法，以及新版的 TCP SYN 拒绝服务攻击。研究人员是在 Digital Ocean 位于荷兰数据中心的一台服务器上发现新变种的，该服务器还托管了利用 D-Link、Netgear、Huawei、Realtek、以及中国开发的 ThinkPHP Web server 框架漏洞的版本。[来源：solidot]

Firefox将会增加对网站指纹和加密货币挖矿脚本的保护

Mozilla近日宣布将会为Firefox浏览器引入几种新方式。正如此前在Bugzilla追踪器中BUG报告中所暗示的，Firefox将会增加对网站指纹和加密货币挖矿脚本的保护。Mozilla在官方博文中解释道：网站通过指纹脚本可以收集每位访客的硬件相关数据，这样即使用户清除了cookies也能在网络上追踪用户。这些信息包括处理器、内存容量等信息。而对于加密货币挖矿脚本，这在当前的互联网上的威胁已经越来越大。该脚本可以让你的计算机在后台进行挖矿作业，为其他人挖掘加密货币。这可能会耗尽系统资源并影响系统性能。为了解决这两个问题，Mozilla与Disconnect合作创建了黑名单，罗列了使用该脚本的域名站点，用户可以选择阻止其中一项或者完全阻止。目前该功能已经出现在Nightly通道的68版本和Beta通道的67版本中，目前默认情况下处于禁用状态，一旦通过测试提高可靠性和稳定性将会默认启用。[来源：cnbeta]

流行开发工具 bootstrap-sass 被修改植入后门

安全研究人员在官方的 RubyGems 库发现了后门版本的网站开发工具 bootstrap-sass。该工具的下载量高达 2800 万次[但这并不意味着下载的所有版本都存在后门，受影响的版本是 v3.2.0.3，研究人员呼吁用户尽可能快的更新，认为可能有数千应用受到影响。研究人员推测，黑客入侵了开发者的机器或窃取了开发者的凭证，然后通过开发者账号简单上传了一个后门版本。该后门允许攻击者远程执行代码。此类的供应链攻击正成为一个日益增长的危险。[来源：solidot]

微软四月修复74个漏洞

微软在今年4月的补丁修复日共修复了74个漏洞，其中有15个评级为“严重”，还有两个已经有在野利用实例。此次修复的漏洞涉及到.NET内核、Adobe Flash播放器、CSRSS、微软浏览器、Edge浏览器、Exchange服务器、图表组件、JET 数据库引擎、Office、Office SharePoint、微软脚本引擎、Windows、XML、开源软件、Windows管理员中心、Windows内核、Windows SMB Server等。具体的漏洞和补丁以及安全建议，可参考微软官方公告。[来源：bleepingcomputer]

澳法案强制要求企业安装“后门” 中国外交部：坚决维护网络安全

近日，多家澳大利亚媒体报道称，澳大利亚《通信和其他法律关于协助和准入的修正案2018》法案，强制要求通信企业为澳大利亚政府安装“后门”。多家国际网络公司对此表示严重关切，称该法案威胁到了澳大利亚及世界其他地区的网络安全。但此前，澳大利亚政府声称“绝不允许一个对他国政府负有义务的公司涉足澳通讯网络”，并以此为由禁止中国华为公司参与澳大利亚5G网络建设。对此，中国外交部发言人陆慷在4月10日的例行记者会上表示，澳一方面拿网络安全说事，另一方面自己却在危害网络安全，中方想知道澳大利亚政府对此作何解释。[来源：sina]