一周安全头条 (20190825-0831)
作者:星期六, 八月 31, 20191

行业动态 政策法规 儿童个人信息保护8月23日,国家互联网信息办公室发布《儿童个人信息网络保护规定》。规定指出,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。网络运营者征得同意时,应当同时提供拒绝选项,并明确告知收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;儿童个人信息存储的地点、期限和到期后的处理方式;儿童个人信息的安全保障措施;拒绝的后果;投诉、举报的渠道和方式;更正、删除儿童个人信息的途径和方法等事项。规定还提出,网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。违反该规定的,由网信部门和其他有关部门依据职责,根据网络安全法等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。规定自2019年10月1日起施行,并明确任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。

行业动态 量子加密 日本8月25日,日本政府计划加速其量子密码技术的研究和开发,以保护高度机密信息免受网络攻击,并力争2025年实用化。日本政府希望在2025年实现量子加密在日本的普及,并将研究如何使用现有的光纤网络。总务省将在8月底出示的2020年度预算概算要求中,预申请15亿日元(约合人民币1亿元)研发经费。日本设想未来的通信网络,通过卫星,允许在与外国领导人的视频电话会议和机密外交信息交流中使用加密技术。

行业动态 致命自治武器 人工智能 微软 亚马逊近日,针对致命性自治武器立场的一项调查研究发现,亚马逊、微软和英特尔等主流科技公司,因开发杀手机器人而将世界置于危险境地。据悉,这支名为Pax的荷兰非政府组织根据以下三个标准给 50 家公司做了排名:是否在开发与致命人工智能 (AI) 相关的技术;是否参与相关军事项目;未来有无退出打算。报告主要作者 Frank Slijper 称:为什么微软和亚马逊这样的公司正在开发此类杀人 AI,或将会危害国际安全,甚至预示着战争形态将继火药和原子弹之后迎来第三次变革。

行业动态 漏洞奖励 Edge浏览器近日,微软为基于 Chromium 内核开发的新版 Microsoft Edge 浏览器,推出了一个全新的除虫赏金(bug bounty)项目。据悉,如果提交的安全漏洞报告的质量足够高,该公司将给出高达 3 万美金(2.14 万+ RMB)的奖励。该项目仅面向 Windows / macOS 平台上的 Beta 和 Dev 版本(Canary 分支并未包含在内)。感兴趣的朋友,可以到微软官网下载 Microsoft Edge 浏览器(传送门).

行业动态 微软 恶意软件 系统更新近日,微软官方证实,未受保护的服务器无需用户互动即可在网络上传播病毒与恶意软件这一传言。随后,微软警告用户应立即更新 Windows 10 操作系统,以免受关键漏洞危害。该公司表示,未受保护的服务器可在网络上自发传播病毒和恶意软件,无需用户授意。开启自动更新功能的 Windows 10 设备已受到保护。受影响 Windows 版本包括 Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2012、Windows 8.1、Windows Server 2012 R2 等,Windows XP 不受影响。

行业动态 销售纠纷  McAfee  Dixons近日,安全公司McAfee对英国零售商Dixons以违反销售协议发起诉讼,表示起造成了自己3,000万英镑的损失,并且Dixons正在和赛门铁克进行销售洽谈。Dixons表示,由于在一次微软更新中,造成McAfee的杀毒软件在自己销售的Windows 10S系统上无法正常运作,甚至会导致系统崩溃,而McAfee也未及时修复该漏洞,因此他们无法销售这批电脑。Dixons表示自己不应对此负责。

融资并购 特权管理美国特权访问管理公司Remediant近日获得A轮融资1,500万美元。Remediant的的特权管理方式基于一种及时使用的机制:即特权账户只在使用的时候生成,在使用完成后移除。

融资并购 终端安全 VMware Carbon Black近日,VMware计划收购基于云的终端安全厂商Carbon Black,总价达21亿美元。另一方面,VMware同时表示了自己下一步计划将收购Pivotal Software,进一步创建现代化的企业级应用安全能力。

调查报告 应用程序保护 F5 Labs 市场近日,网络安全公司 F5 Labs 日前发布《2019 应用程序保护报告》,探索可用于入侵 API 的各种攻击技术。研究人员介绍,导致 API 成黑客攻击靶子的最大因素,是过于宽泛的权限。另一个关键问题,则是可见性。研究人员宣称,业内缺乏对 API 及其安全风险的态势感知。

调查报告 网络安全保险近日,Research and Markets发布报告《网络安全保险——全球市场展望(2017-2026)》(Cyber Security Insurance – Global Market Outlook)。根据报告显示,2018年全球网络安全保险市场规模为41.9亿美元,预计到2026年将达到350.7亿美元,年复合增长率为26.6%。

漏洞补丁 联想 提权漏洞近期,Pen Test Partners (PTP) 的研究人员发现,联想电脑中预装的Lenovo Solution Centre(LSC)存在一个提权漏洞,且自2011年以来就一直存在。该漏洞被标记为CVE-2019-6177。根据联想的安全公告,Lenovo Solution Center的03.12.003版本(已不再进行技术支持)中存在一个提权漏洞。攻击者可利用其将日志文件写入系统敏感位置,从而触发提权。联想在2018年4月终止了对Lenovo Solution Center的技术支持,并建议客户使用Lenovo Vantage或Lenovo Diagnostics。虽然该产品已不再受到技术支持,但大多数联想笔记本电脑都安装了该软件。

漏洞补丁 杀毒软件Bitdefender 2020 近日,SafeBreach实验室的研究人员发现免费杀毒软件Bitdefender 2020存在严重安全漏洞。攻击者可以利用该漏洞加载未签名的代码触发权限升级。据悉,该漏洞可以通过加载一个任意的无符号动态链接库(DLL)来利用。该漏洞的存在主要是由于缺乏代码完整性保护(CIG)机制。攻击者可以利用这个漏洞获得系统访问设备,该服务的可执行文件由BitDefender签名,如果攻击者找到了在此过程中执行代码的方法,就可以冒充应用程序白名单,导致产品安全问题不能及时被发现。除了冒充白名单和获得系统特权之外,攻击者还可以在每次加载服务时不断加载和执行恶意有效负载。研究人员于2019年7月17日向Bitdefender网站报告发现该漏洞。Bitdefender承认了这个漏洞,并最终在2019年8月14日修复。

漏洞补丁 Steam 提权漏洞近日,研究人员Vasily Kravets公布了新的Steam客户端的零日漏洞,这是一种特权升级漏洞,将威胁超过 9600 万用户。Kravets称,攻击者可以利用 Steam 客户端服务的 NT AUTHORITY \ SYSTEM 特权,通过运行可执行文件实现特权升级。据专家解释,此方法使用了 BaitAndSwitch,这是一种为了赢得 TOCTOU(检查时间/使用时间)而将链接和 oplock 的创建相结合的技术。黑客利用Steam游戏、Windows应用程序或操作系统本身的漏洞获得远程代码执行权限,并在权限提升之后使用 SYSTEM 权限运行恶意负载。

漏洞补丁 HTTP/2近日,Kubernetes发布了更新,修复了HTTP/2中的数个漏洞。这几个漏洞在本月早期由Netflix和Google研究者公开,会导致DoS攻击。

恶意软件 卡巴斯基  CamScanner 安卓应用近日,卡巴斯基的安全研究人员发现了一个名为CamScanner的带有恶意代码的安卓应用,该应用已经在Google Play上被下载了超过1亿次。该应用的恶意代码版本最早在预装在中国的安卓手机上被发现,该代码可以从应用中的其他加密文档中获取并执行更多恶意模组。卡巴斯基表示,在最新的版本中,该代码已经被移除,但是考虑到不同机型、系统对应的版本不同,部分应用中可能依然存在该代码。

数据泄露 Hostinger 网站托管近日,全球知名网站托管商Hostinger 发布公告称, 8月23日发现安全漏洞,数据服务器遭到未经授权访问,这可能已经影响了1400万 Hostinger客户。据官方公告此次泄露的数据库包括用户的注册邮箱、散列密码、用户名、真实姓名、家庭住址以及手机号码等。这个在立陶宛成立的托管商为全球 178 个国家地区的3000万用户提供托管服务,  此次约半数用户信息遭到泄露。基于安全考虑,目前该公司已经将受影响的1400万用户重置密码,但是客户的其他信息已被泄露,且没有补救措施。

数据泄露 信用卡信息 万事达近日,德国有近9万个万事达 (Mastercard) 信用卡用户的信息,一度出现在网络上。万事达公司对此已经做出反应。据报道,德国一个网络论坛19日出现任何人都能打开的Excel表格,上面列出近9万名德国万事达信用卡用户的信息。这些所泄露的资料全部都是来自参与了万事达信用卡奖励计划 “Princeless Specials” 用户的信息,其中包括姓名、邮箱地址、信用卡号码的前两位数及最后四位数,有的还包括用户住址和手机号码。事后,万事达公司官方宣布,暂时关闭对德国开放不到两年的 “Princeless Specials” 平台,并表示,公司对待个人隐私非常严肃,会全面调查泄密原因,并强调该事件与平台的支付系统没有关系。

数据泄露 Imperva WAF近日,全球领先安全厂商Imperva宣布发生信息泄露事件,造成部分客户的敏感信息外泄。这起事件主要影响了Imperva的WAF产品;被泄露信息包括电子邮件地址、2017年9月15日注册以后的用户的hash后的密码、以及API密钥和SSL证书。Imperva暂时没有透露泄露原因,同时建议WAF用户修改密码、配置SSO、启用双因子验证、生成并上传新的SSL证书、并且重置密钥。

数据泄露  表单劫持 Magecart组织  支付信息近日,研究者发现80个Magecart组织攻破的电商网站,大量用户的信用卡信息被泄露给攻击者控制的服务器,大部分受影响网站都是在摩托车、高端奢侈品的知名品牌。该组织在电商网站中植入JavaScript代码,从而实时截取支付信息并传送到攻击者自己的服务器。研究者表示,受影响的80个网站中大部分都运行了过时的Magento CMS,从而存在不经认证即可上传以及远程代码执行的漏洞。

 


相关文章

写一条评论

 

 

1条评论

fff5879 2019-09-02 13:55

一定加强信息安全意识