【安全幫】“間諜晶片門”持續發酵:韓國大舉排查伺服器、華為再躺槍
甲骨文例行更新修復了 301 個安全漏洞 包含 45 個嚴重漏洞 甲骨文(Oracle)於本週進行了每季度的例行 ofollow,noindex" target="_blank">重要補丁更新(Critical Patch Update,CPU) ,修復了 301 個安全漏洞,其中有 45 個被列為嚴重(Critical)等級,在 CVSS 漏洞評分系統上達到 9.8 分,最嚴重的 CVE-2018-2913 為 10 分。
本週的修復更新涉及到甲骨文旗下的十多款產品,其中漏洞最多的產品為 Fusion Middleware,總共修復了 65 個相關漏洞。其他依次是 Oracle SQL/">MySQL 的 38 個、Retail 的 31 個與 PeopleSoft 的 24 個。本次甲骨文只修復了 Java SE 上的 12 個漏洞,有 11 個可通過遠端進行利用。這是甲骨文 2018 年的最後一次修復更新,也讓今年漏洞的總修復量達到了 1119 個。
參考來源:
https://www.oschina.net/news/100976/oracle-critical-patch-update-oct
“ 間諜晶片門 ” 持續發酵:韓國大舉排查伺服器、華為再躺槍 集微網訊息,彭博於10月5日爆出的“間諜晶片門”雖無實質證據,但是對產業的影響仍在持續發酵。近日,韓國政府懷疑本國的眾多伺服器主機板中被Super Micro的所謂改裝晶片入侵,韓國公共機構和研究機構將對其伺服器進行徹底排查,並計劃在發現安全問題時更換其計算機系統。韓國方面認為,由於Super Micro因涉嫌利用間諜晶片進行黑客攻擊,使用Super Micro伺服器的韓國政府機構、研究機構和金融機構的安全問題越來越多,包括電子和電信研究所(ETRI)和韓國航空航天研究所(KARI),三星,SK,LG,KT和POSCO以及大學,金融機構,政府機構和網路託管服務提供商等,對技術可能洩露的關注日益增加。 “國家情報局正在檢查國家機構,我們正在檢查移動運營商和入口網站,”該部門表示,在大學和廣播電臺中也存在有疑慮的伺服器。另一方面,韓國對“間諜晶片”的憂慮甚至無辜波及到華為5G裝置。SK Telecom已將華為從其5G裝置合作伙伴名單中剔除。
參考來源:
https://www.secrss.com/articles/5827
新的 LibSSH 漏洞允許黑客在無需密碼的情況下接管你的伺服器 LibSSH官方在本週二釋出的安全公告中披露了一個已存在四年之久的高風險漏洞,它允許攻擊者繞過身份驗證,在不需要密碼的情況下獲取對受該漏洞影響伺服器的完全控制權限。LibSSH是一個C 函式庫,用於實現SSH2協議。這個新的安全漏洞被追蹤為CVE-2018-10933,是一個在2014年初發布的Libssh 0.6版本中引入的SSH2登陸身份驗證繞過漏洞。根據週二釋出的安全公告,想要成功利用這個漏洞,攻擊者所需要做的僅僅是通過向啟用了SSH連線的服務端傳送“SSH2_MSG_USERAUTH_SUCCESS”訊息來代替服務端期望啟動身份驗證的“SSH2_MSG_USERAUTH_REQUEST”訊息。
參考來源:
https://www.hackeye.net/threatintelligence/16823.aspx
安卓收費要多少錢?每臺裝置最多 40 美元一般 20 美元 據外媒報道,一位知情人士當地時間週五表示,按照一項全新的授權制度,Alphabet旗下谷歌公司將向使用其應用的硬體公司的每臺裝置收取最高達40美元的費用。這項新的授權制度取代了歐盟今年認為不利於競爭的老的許可體系。
該公司當地時間週二宣佈,對於在歐洲經濟區(EEA)推出、執行谷歌Android作業系統的任何新智慧手機或平板電腦機型,這項新收費制度將於10月29日生效。
這位知情人士還表示,每臺裝置收費可能會低至2.50美元,具體收取多少則根據國家和裝置尺寸大小的不同來決定。這是針對整個製造商的標準,多數製造商可能要為每臺裝置支付20美元左右。這項收費適用於谷歌應用商店(Google+Play/">Google Play)、Gmail和谷歌地圖(Google Maps)等一系列應用。
參考來源:
http://tech.163.com/18/1020/09/DUI631CR00097U7S.html
作業類App 暗藏百款網遊含涉黃遊戲 老師推廣可送話費 近日,深圳的趙先生向記者反映,上小學三年級的兒子每天都在使用一款名為“一起小學學生”的手機App,因為老師要在上面佈置家庭作業。而趙先生反映在“成長世界”的板塊中竟出現了網路遊戲,孩子們可以通過完成任務來獲得一定的分數,分數可以兌換虛擬貨幣,從而購買道具或者飼養電子寵物來和同學進行PK。 一些學習App的運營者,除了利用教學的幌子推廣遊戲以外,還有更“滑頭”的做法,就是將App裡的遊戲通道轉移到了微信公眾號中,把中小學生使用者引導到App以外的地方,試圖逃避監管。一款名為“互動作業”的App出現大量與學習無關的內容,而“互動作業”的微信公眾號除了利用遊戲引導中小學生進行社交,還包含大量性暗示、性誘惑、不良价值取向的網路遊戲。
參考來源:
V8wXzEzMzE1NzUwXzEyNjRfMTU0MDAyNTc2MA" rel="nofollow,noindex" target="_blank">https://m.huanqiu.com/r/MV8wXzEzMzE1NzUwXzEyNjRfMTU0MDAyNTc2MA ==
美國 3500 萬選民的資料在網上售賣 賣方稱資料真實可信 銷售資料洩露資訊的論壇上的廣告還提供了數百萬美國居民的個人身份資訊和投票歷史。 估計的快取大小超過3500萬條記錄。該公告稱,所售出的資料來自更新的全州選民名單,包括數百萬個電話號碼,完整地址和姓名。資料來自美國20個州。賣方僅為三個州的列表提供記錄數量:路易斯安那州(300萬),威斯康星州(600萬)和德克薩斯州(1400萬),價格在1,300美元到12,500美元之間。所有列表都可以以不同的價格購買,可能根據它們包含的記錄數量。 例如,最便宜的是明尼蘇達州,目前售價150美元。
參考來源:
http://toutiao.secjia.com/article/page?topid=110982
蘋果改進隱私網站 允許美國使用者下載個人資料
據科技網站CNET報道,蘋果的隱私入口網站近幾年來幾乎並未發生任何大的變化,隱私頁面上總是寫著蘋果公司長期一貫聲稱的同樣承諾,比如隱私權是一項“基本人權”,使用者的資訊大部分來自其使用的iPhone、iPad和Mac機。但隨著iOS 12和macOS Mojave新系統中出現一系列新的安全和隱私特性,一些涉及隱私的政策則必須與時俱進地加以更新改進,而隱私網頁裡也將新增涉及點到點加密FaceTime視訊呼叫資訊以及智慧跟蹤保護的隱私資訊。此次更新還有一個最關鍵的補充:蘋果正在擴充套件其資料門戶,以允許美國客戶下載儲存在公司的他們個人的資料副本。
而在幾個月前,歐洲使用者已獲得了這一下載功能。因為五月歐盟新推出的《通用資料保護條例》(GDPR)要求在歐洲經營的公司允許客戶獲取他們自己的資料副本。蘋果今年年初已做出承諾,將把這一個人資料下載功能擴充套件到美國客戶,隨後加拿大、澳大利亞和紐西蘭的使用者也將可以請求下載他們的個人資料。
參考來源:
http://hackernews.cc/archives/23966
關於安全幫
安全幫,是中國電信北京研究院旗下安全團隊,致力於成為“SaaS安全服務領導者”。目前擁有“1+4”產品體系:一個SaaS電商(www.anquanbang.vip) 、四個平臺(SDS軟體定義安全平臺、安全能力開放平臺、安全大資料平臺、安全態勢感知平臺)。