一周安全头条(20190203-0209)
作者: 日期:2019年02月11日 阅:6,138

政策法规  欧盟

 

欧盟最近通过决策,将把碎片化的边境安全数据库连接,从而使得海关、移民监等相关员工可以在同一个屏幕上查找到入境人员的个人信息,而不需要像以往一样在不同数据库之间进行跳转查询。同时,他们也将对非欧盟公民专门建立一个生物信息的数据库,进行识别。

融资并购  应用安全

加州应用安全公司Signal Science周二宣布获得C轮融资3,500万美元,融资总额达到6,100万美元。Signal Science成立于2004年,主要产品为WAF以及运行时刻应用自保护技术(RASP),确保企业关键商用应用、API以及微服务安全。公司表示,95%的客户使用全自动阻断模式,即不需要再雇佣全职员工对系统进行操作。该产品已经保护超过1万种应用,覆盖40多种不同环境。

物联网安全  打印机

佳能表示,在下个月即将发布的新一代imageRunner Advance打印机中将加入安全能力。其中之一是结合SIEM系统,从而让打印机更容易融入企业现有的安全管理系统中。另外,新产品也加入了一个叫做“Verify System at Startup”的功能,用根信任方案防止设备的固件、引导代码以及应用被进行未经过认证的修改。同时,新产品也加入了自动安全证书更新,让IT团队能更方便地进行运维。

行业动态  个人隐私

近期,苹果公司表示,继前一日对Facebook制裁之后,将对谷歌采取同样的制裁行动。与Facebook一样,谷歌也是利用特殊权限收集用户数据。据称,许多谷歌内部应用软件已停止工作,其中包括谷歌许多面向消费者的早期和预发布版本,如谷歌地图、移动聊天工具Hangout、电子邮箱工具Gmail等。

安全处罚  数据安全

美国能源公司Duke Energy因违反127条关键基础设施保护(CIP)标准,被北美电力可靠性委员会(NERC)罚款1,000万美元。被违反的条例中大部分严重程度为“中等”,但有13条为“严重”。委员会表示,这些违规给北美大容量电力系统(BEC)带来了极大的隐患。13条“严重”等级的问题包括不适当配置防火墙与IDS、没有配置适当的物理准入设备、数月甚至数年未进行软件更新、为使用安全管控系统、共用密码以及弱密码、很少修改安全设置基线、临时使用的IT资产带来的安全隐患,以及缺乏对BEC的信息保护。

数据泄露  数据库漏洞

近期,IT安全和云数据管理巨头Rubrik被曝因服务器出现安全漏洞,导致数据库遭到泄露。据悉此次遭泄露的数据,包括德勤(Deloitte)、壳牌(Shell)、美国联合银行(Amalgamated Bank)、英国国民医疗服务系统(NHS)、美国国土安全部(Homeland Security)以及其他联邦政府部门等在内的,近数十GB的客户的姓名和联系方式等。

漏洞补丁  Ubiquity

安全研究人员近日发现,有近50万存在特定漏洞的Ubiquity设备已经被攻击者利用。该漏洞存在于UDP端口10001上,攻击者可以利用该漏洞实行DoS攻击,并存在实施DDoS攻击的可能。尽管该漏洞早在去年夏天就已经被曝出,但是Ubiquity仅仅是通知了用户该漏洞的存在以及让用户关闭问题端口;Ubiquity甚至表示该漏洞不存在被利用进行DoS攻击的可能性。从受影响范围来看,超过半数的设备在巴西,同时在美国、西班牙等国家也有大量设备;主要受影响设备有NanoStation、AirGrid、LiteBeam、PowerBeam和NanoBeam。

漏洞补丁  通信安全

安全专家近日发现,在5G网络的认证与密钥管理协议(AKA)中存在漏洞,会引起窃听以及中间人攻击。AKA协议在3G和4G网络中也被使用;然而,尽管在5G网络中加强了该协议的认证过程,却依然存在被攻击的风险。同时安全研究者表示,在第一代5G网络出来之前,这个漏洞很可能无法被修复,因此第一代5G网络依然存在安全风险。

漏洞补丁  物联网安全

欧盟委员会近日宣布召回一款德国产的儿童手表:ENOX Safe-Kid-One。该手表遭到冰岛用户投诉,称其违反了冰岛顾客保护条例。然而,委员提供极少的细节信息,主要表示该产品所携带的应用和后端服务器之间使用了未加密的通信,而服务器能不经过认证接触到数据;因此,地理位置历史信息、电话号码、序列号等都可以轻易被获取并篡改。另外,攻击者也能发送指令让设备拨打特定的号码、直接和携带设备的儿童通信以及定位儿童。

漏洞补丁  安卓

如果安卓设备的使用者未将系统更新到最近的2019年2月的版本,那么他们最好尽快那么做。在这个更新当中,谷歌修复了几个比较高危的漏洞。一个漏洞能使得攻击者发送携带恶意代码的图片,一旦用户在一个应用中打开图片,就会实行代码,使得设备被劫持。另两个漏洞存在于蓝牙信号中,攻击者可以通过发送一种特殊的信号,在设备上执行任意代码。另外存在四个Linux的内核漏洞会通过一些应用利用,至少会被攻击者获取高级权限以及对设备进行劫持。

相关阅读

一周安全头条(20190128-0203)

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章