【安全幫】jQuery流行外掛漏洞遭濫用,國內多網站被掛馬跳到博彩網站
微軟完成對 GitHub 的收購 
微軟 ofollow,noindex" target="_blank">完成了對 GitHub 的收購 ,Xamarin 的前 CEO Nat Friedman 將從下週一開始擔任 GitHub 的 CEO。GitHub 是最受歡迎的基於 Git 的程式碼託管平臺,有 3100 萬開發者,微軟是在今年 6 月宣佈以價值 75 億美元的股票收購 GitHub,表示收購之後 GitHub 將會獨立運營,稱微軟是一家將開發者放置在第一位的公司。即將接替現任 CEO Chris Wanstrath 的 Friedman 在最新宣告中表示 GitHub 未來會向開發者提供更多他們喜歡的工具。
參考來源:
https://www.solidot.org/story?sid=58371
jQuery 流行外掛漏洞遭濫用,國內多網站被掛馬跳到博彩網站 
近期360網際網路安全中心收到多位站長求助,其網站在通過搜尋引擎開啟時,會跳轉到網路博彩頁面。經過分析發現,是網站使用的jQuery程式碼被惡意篡改,進一步分析發現,很多站點是因為使用的CMS中的舊版本jQuery-File-Upload外掛存在任意檔案上傳漏洞(CVE-2018-9206)被利用後插入的惡意程式碼導致。Blueimp jQuery-File-Upload是一款被廣泛使用支援多種語言的檔案上傳工具,它包括檔案選擇、檔案拖放、進度條顯示和影象預覽等功能。 Blueimp jQuery-File-Upload 9.22.0及之前版本中,在最近被爆出存在任意檔案上傳漏洞(CVE編號:CVE-2018-9206,詳情見:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9206)。遠端攻擊者可利用該漏洞執行程式碼。
參考來源:
https://www.secrss.com/articles/5973
歐洲議會要求全面審計 Facebook:評估個人資料安全性 
據美國科技媒體TechCrunch報道,在Facebook出現一系列資料洩露醜聞之後(包括此前“劍橋分析”事件),歐洲議會提出要對Facebook進行全面審計。之前Facebook有870萬用戶的資料被不正當獲取及濫用,為此歐洲議會成員正在敦促該公司允許歐盟機構進行全面審計,以評估資料保護和使用者個人資料的安全性。在決議中,他們還建議Facebook調整其應對選舉干預問題的做法——並堅稱該公司不但辜負了歐洲使用者的信任,還“違反了歐盟法律”。
參考來源:
http://hackernews.cc/archives/24339
應用日活增長背後的黑產狂歡——安卓拉活病毒 
近期,騰訊安全反詐騙實驗室通過TRP-AI反病毒引擎發現了數個以應用拉活為獲利手段的黑產團伙,通過惡意程式碼下發拉活子包擅自嘗試啟動或喚醒使用者手機中的正常應用,執行應用“拉活”操作,目標包括了電商、新聞、視訊、瀏覽器等類別的各大知名應用。騰訊安全專家指出,DAU(DailyActive User)日活躍使用者數,常用於反映網站、應用或網路遊戲等的運營情況。移動網際網路競爭激烈的現在,已很難從正規渠道獲取到新流量,這些黑產團伙利用獲得的黑產流量,通過技術手段篡改應用渠道活躍資訊,將黑產流量轉換成應用渠道流量,最終從中牟利。應用開發商投入的大量的渠道推廣費用被黑產截流,造成巨大的損失。
參考來源:
兩部門約談騰訊 要求清理傳播淫穢和低俗內容等公號 
10月26日,全國“掃黃打非”辦公室和國家新聞出版署就微信公眾號傳播淫穢色情和低俗網路小說問題約談了騰訊公司,責令其立即下架違背社會主義核心價值觀,低俗、庸俗、媚俗網路小說,堅決清理傳播淫穢色情等有害內容的微信公眾號,切實履行企業主體責任。騰訊公司即日起要立即全面開展自查自糾,對公眾號進行認真稽核、審看,堅決清理傳播淫穢色情和低俗等有害內容的微信公眾號,下架低俗網路文學作品,關停問題嚴重的公眾號,整頓低俗內容引流現象,同時對類似問題“舉一反三”,不給違法違規低俗內容提供傳播的渠道。
參考來源:
http://tech.163.com/18/1026/15/DV284U4I00097U7R.html
中興內部通告續聘美方監察官兩年 五年內雙邊監管 
日前,《中國經營報》記者獨家獲悉一份中興公司名為“內部公示檔案:關於監察官任命公告(根據2018年10月3日《監察官監察條件變更命令》擬定)”的檔案,其中稱,將延長自2017年7月20日開始的監察期。在此期間,獨立監察官James M。 Stanton將被中興延續聘任至2022年3月22日。該監察官將繼續履行2017年《認罪協議》《認罪協議》附件A(修改版)以及美國法院的《同意公司監察官任命狀》中規定的職責。之所以發出這樣的變更命令,據中興通訊在10月7日釋出的公告稱,是因為中興公司、深圳市中興康訊電子有限公司及美國商務部工業與安全域性於2018年6月達成的替代和解協議所述的行為導致。
參考來源:
http://tech.caijing.com.cn/20181027/4529738.shtml
華擎驅動程式存在多處提權漏洞 
SecureAuth Labs安全研究人員發現了ASRock實用程式安裝的驅動程式中的多個漏洞。 SecureAuth在ASRock RGBLED和其他華擎品牌實用程式安裝的AsrDrv101.sys和AsrDrv102.sys驅動程式中發現了一系列安全漏洞。通過利用這些漏洞,本地攻擊者可以提升本地許可權、核心任意程式碼執行,該漏洞由IOC/">IOCTL的許可權檢查不足導致。驅動程式用於程式設計和查詢嵌入式積體電路的狀態。因此,應用程式可以訪問風扇效能曲線,時鐘頻率,LED顏色,熱效能以及其他使用者可自定義的屬性和監視功能。但是其中一些特定的IOCTL呼叫沒有進行許可權檢查,導致存在4個高危漏洞。
參考來源:
https://www.secrss.com/articles/5362
關於安全幫
安全幫,是中國電信北京研究院旗下安全團隊,致力於成為“SaaS安全服務領導者”。目前擁有“1+4”產品體系:一個SaaS電商(www.anquanbang.vip) 、四個平臺(SDS軟體定義安全平臺、安全能力開放平臺、安全大資料平臺、安全態勢感知平臺)。
