【安全幫】國泰航空隱私外洩 港人不受歐洲規例保護可民事索償

Word+YouTube 視訊，無感攻擊技術被曝光

Cymulate 的研究團隊發現了一種濫用微軟 Word 的線上視訊功能來執行惡意程式碼的方法。專家們使用嵌入在武器化的 Microsoft Office 文件中的 YouTube 視訊連結建立了概念驗證攻擊。攻擊者可以將其用於惡意的目的, 如網路釣魚。他們釋出了一個線上視訊POC：當用戶點選一個YouTube 視訊（嵌入在一個惡意的office文件中），可執行 JavaScript 程式碼。而，這一切可以做到使用者無感。在 Word 文件中嵌入視訊時, 將建立一個 HTML 指令碼, 並在單擊文件中的縮圖時由 IE瀏覽器執行它。惡意文件將顯示嵌入的線上視訊與 YouTube 的連結, 同時偽裝隱藏的 html/javascript 程式碼將在後臺執行, 可能會導致進一步程式碼執行。

參考來源：

ofollow,noindex" target="_blank">https://www.t00ls.net/articles-48284.html

利用這 3 個 bug 可完全控制 8 款 D-Link 路由器 多款 D-Link 路由器易受三個安全漏洞的影響，可被攻擊者完全控制。這三個漏洞分別是一個路徑遍歷漏洞、以明文形式保護密碼以及 shell 命令執行；攻擊者可結合使用它們在裝置上執行惡意程式碼。路徑遍歷漏洞的編號是 CVE-2018-10822，它可導致遠端攻擊者讀取任意檔案。它是由去年披露的某個bug 修復不正確產生的。這種缺陷可導致攻擊者入侵儲存著管理員憑證的密碼資料夾。這就導致第二個漏洞即以明文形式儲存密碼的問題出現，其編號是 CVE-2018-10824。通過使用該路徑遍歷缺陷，攻擊者能夠訪問密碼資料夾餅檢視包含敏感資訊的配置檔案。第三個漏洞是 CVE-2018-10823，它是一種 shell 命令注入，很可能導致認證使用者在裝置上執行任意程式碼。安全公告指出，“經認證的攻擊者可通過將 shell 命令注入 chkisg.htm 頁面 Sip 引數的形式執行任意程式碼，從而導致攻擊者完全控制裝置。”

參考來源：

http://codesafe.cn/index.php?r=news/detail&id=4504

  思科 Webex 線上視訊會議軟體曝命令注入漏洞

兩名安全研究人員於近日釋出訊息稱，思科的WebEx線上視訊會議軟體受到一個嚴重漏洞的影響，該漏洞可以被利用來提供許可權並執行任意命令。

這個安全漏洞由來自Counter Hack的Ron Bowes和Jeff McJunkin發現，並被命名為“WebExec”。為了讓公眾能夠更加清楚地瞭解該漏洞，兩名安全研究人員還為它專門建立了一個網站（webexec.org）。該漏洞被追蹤為CVE-2018-15442，在今年8月初通報給了思科，修復補丁在兩個月內釋出。思科與兩名安全研究人員協商了漏洞的披露時間，並且沒有證據表明它已經被用於惡意目的。

參考來源：

https://www.hackeye.net/threatintelligence/16964.aspx

蘋果調查重慶廣達 Apple Watch 工廠非法用工問題 據外媒報道，蘋果正在對其供應鏈展開調查。此前，有勞工權利組織指控稱，蘋果一家供應商在中國非法僱傭學生，生產Apple Watch。上週，蘋果啟動了調查。此前，總部位於香港的權利組織Sacom指控稱，蘋果的臺灣供應商廣達電腦在重慶非法僱傭學生，生產Apple Watch。Sacom表示，今年夏季，該組織採訪了重慶廣達工廠的28名高中生。這些學生表示，他們是被老師派往該工廠進行“實習”，但從事的工作與生產線上的其他工人相同，經常還要加班或倒班。根據中國法律，這兩種行為在學生實習中是違法的。11名學生表示，老師告訴他們，如果不完成實習就無法按時畢業。所有28名學生都表示，他們會加班以及倒班。

參考來源：

http://www.qianjia.com/html/2018-10/29_309591.html

國泰航空隱私外洩 港人不受歐洲規例保護可民事索償 據香港《文匯報》報道，日前，國泰航空及其子公司港龍航空940萬名乘客資料外洩，包括約25萬個香港身份證號碼，及約86萬個護照號碼等。對於有英國律師行聲稱，可透過歐盟相關條例協助受影響乘客向國泰航空追討賠償，有香港法律界人士指，持BNO(注：英國海外護照)港人不受到歐洲規例保護，但仍可向國泰提出民事索償。

參考來源：

http://www.chinanews.com/ga/2018/10-29/8662390.shtml

多種 NSA 黑客工具已被用於攻擊航空航天和核能行業

根據卡巴斯基實驗室安全專家的說法，有攻擊者正在利用NSA黑客工具DarkPulsar、DanderSpritz和Fuzzbunch來感染俄羅斯、伊朗和埃及50多家機構所使用的Windows Server 2003和2008系統。受感染的易受攻擊伺服器被廣泛應用於航空航天和核能等行業，尤其是那些擁有大型IT和研發部門的機構。卡巴斯基實驗室的安全專家Andrey Dolgushev、Dmitry Tarakanov和Vasily Berdnikov 在分析報告中寫道：“ShadowBrokers（影子經紀人）在2017年3月公佈了一大堆被盜資料，其中就包括兩個框架：DanderSpritz 和 FuzzBunch。”

參考來源：

https://www.hackeye.net/securityevent/16882.aspx

日本 9 家銀行將試用富士通技術進行區塊鏈結算 IT巨頭富士通（Fujitsu）29日宣佈，包括瑞穗銀行(Mizuho Bank)和三菱ufj銀行(MUFG Bank)在內的九家日本銀行使用其技術試驗一個基於區塊鏈的銀行間結算系統。據悉，該試驗專案將使用定製數字貨幣來實現小規模交易的低成本轉賬。該測試旨在評估技術的效能、安全性和現實的可行性等方面。

參考來源：

https://www.bianews.com/news/flash?id=23419

關於安全幫

安全幫，是中國電信北京研究院旗下安全團隊，致力於成為“SaaS安全服務領導者”。目前擁有“1+4”產品體系：一個SaaS電商(www.anquanbang.vip) 、四個平臺（SDS軟體定義安全平臺、安全能力開放平臺、安全大資料平臺、安全態勢感知平臺）。