信息安全周报-2019年第12周
发布时间 2019-03-25本周安全态势综述
本周值得关注的网络安全事件是Facebook明文存储数亿用户密码,被员工查看900万次;谷歌因广告垄断再被欧盟罚款17亿美元;Nork Hydro公司遭到勒索软件LockerGoga攻击;89%的欧盟政府网站存在第三方广告跟踪脚本;Epic Games收集Steam用户隐私信息,承诺将进行修复。
根据以上综述,本周安全威胁为中。
重要安全漏洞列表
Mozilla Firefox IonMonkey JIT编译器存在类型混淆漏洞,允许远程攻击者利用漏洞提交特殊的web请求,诱使用户解析,可使应用程序崩溃或执行任意代码,
https://www.mozilla.org/en-US/security/advisories/mfsa2019-07/
2. Cisco IP Phone 7800/8800 Series sip远程代码执行漏洞
Cisco IP Phone 7800/8800 WEB接口处理恶意sip消息存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可执行任意代码。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce
3. CUJO Smart Firewall DHCP主机名命令注入漏洞
CUJO Smart Firewall dhcp守护进程存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可注入任意命令并执行。
https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0703
4. Adobe Photoshop CC堆溢出任意代码执行漏洞
Adobe Photoshop CC处理文件存在堆溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或执行任意代码。
https://helpx.adobe.com/security/products/photoshop/apsb19-15.html
5. Wifi-soft UniBox controller CVE-2019-3495远程代码执行漏洞
Wifi-soft UniBox controller存在远程代码注入漏洞,允许远程攻击者利用漏洞提交特殊的请求,可执行任意代码。
https://packetstormsecurity.com/files/151077/Wifi-soft-Unibox-2.x-Remote-Command-Code-Injection.html
重要安全事件综述
本周四Facebook承认数以亿计的Facebook和Instagram用户的密码多年来一直以明文的形式存储在内部数据系统中。Facebook在1月份的例行安全审查期间发现了这一问题,该公司表示这些数据并未遭到滥用。根据安全记者Brian Krebs的一份报告,约2000名工程师或开发人员对这些数据进行了大约900万次内部查询。Facebook尚未披露受影响的具体用户人数,但Krebs的报告中称这一数字为2亿至6亿之间。
原文链接:
https://www.bleepingcomputer.com/news/security/facebook-employees-could-access-unencrypted-passwords-for-millions-of-users/
2、谷歌因广告垄断再被欧盟罚款17亿美元
3月20日欧盟委员会发布声明对谷歌的广告垄断行为罚款14.9亿欧元(约17亿美元),这是两年内欧盟对谷歌开出的第三张大额反垄断罚单。欧盟委员会表示这一罚款的原因是谷歌滥用其市场主导地位,阻止网页使用AdSense平台以外的广告服务,这一罚金相当于谷歌2018年营业额的1.29%。
https://www.bleepingcomputer.com/news/security/google-fined-17-billion-for-anti-competitive-practices-in-online-advertising/
3、Nork Hydro公司遭到勒索软件LockerGoga攻击
本周一(3月18日)晚间挪威铝业巨头Norsk Hydro遭到大规模网络攻击,几家工厂被临时关闭。在新闻发布会上,Norsk Hydro首席财务官Eivind Kallevik透露该公司遭到较新的勒索软件LockerGoga的攻击,其生产及运营均受到影响。该公司被迫在挪威、卡塔尔和巴西等国家切换至人工操作,以恢复其运营活动。Kallevik还表示该公司已经能够处理所有客户的订单并交付,但未来的订单可能会受到影响,因为公司网络仍未恢复。
原文链接:
https://www.bleepingcomputer.com/news/security/lockergoga-ransomware-sends-norsk-hydro-into-manual-mode/
4、89%的欧盟政府网站存在第三方广告跟踪脚本
丹麦浏览器分析公司Cookiebot在25个欧盟成员国的政府官网上发现广告跟踪脚本,这大概占总共28个成员国的89%,只有德国、西班牙和荷兰的政府网站没有商业广告跟踪器。法国政府网站上的广告跟踪器最多,有52家不同的公司在跟踪用户的行为。这些广告跟踪器主要是在第三方插件的帮助下渗透进政府网站,例如视频播放器插件、网站分析及图表插件等。这显然违反了欧盟的数据保护法规GDPR。
原文链接:
https://www.bleepingcomputer.com/news/security/89-percent-of-eu-government-sites-infiltrated-by-ad-tracking-scripts/
5、Epic Games收集Steam用户隐私信息,承诺将进行修复
Epic Games针对多项侵犯用户隐私的指控做出回应,并承诺对该问题进行修复。游戏玩家在Reddit上发帖称,Epic Games Launcher在未经用户许可的情况下扫描并收集用户的Steam信息。Epic Games工程副总裁Daniel Vogel回应称Epic Games Store客户端创建了Steam文件localconfig.vdf的本地加密副本,当用户选择导入Steam联系人时,将会把用户的联系人哈希ID发送回Epic。Epic Games CEO Tim Sweeney表示将对有争议的用户数据收集行为进行修复。
原文链接:
https://www.bleepingcomputer.com/news/security/epic-promises-to-fix-game-launcher-after-privacy-concerns/
声明:本资讯由启明星辰维他命安全小组翻译和整理
京公网安备11010802024551号