一周安全头条(20191006-1012)
作者:星期日, 十月 13, 20190

行业动态 开源网络安全联盟 代码开源 IBM McAfee
本周,多个企业联合宣布开源网络安全联盟(Open Cybersecurity Alliance, OCA)成立,致力于发展开源安全技术。该联盟由IBM与McAfee最初提出,并在OASIS(结构化信息标准促进组织)下成立。该组织的目的是通过开源代码更自由地交换信息、见解、分析以及编排响应。如今的企业平均会使用来自10家厂商的25个安全工具,OCA目标建立一系列统一的协议与标准来确保这些安全工具能够协同工作。其他参与OCA的厂商包括了Fortinet、CyberArk、CrowdStrike等。

融资并购 长亭科技 阿里云
本周,长亭科技官方微信公众号宣布,阿里云拟全资收购长亭科技。据官方表示,收购完成后,长亭科技品牌及团队均保持独立,继续保持独立运营,并在阿里云的技术、资金、业务的全方面支持下拓展市场,持续为企业级用户提供网络安全解决方案。

融资并购 终端安全 VMWare Carbon Black
VMWare周二宣布自己完成对终端安全公司Carbon Black的全股收购,每股价格26美金,总计21亿美元。在本次收购以后,VMWare将成立一个由Carbon Black的CEO领导的新部门。

调查报告 U盘 企业安全
近日,加密驱动器制造商Apricorn的一份最新报告显示,尽管云存储兴起,87%企业仍在使用USB驱动器,58%的公司和组织不使用端口控制或白名单软件来管理USB设备的使用,而26%的用户不使用基于软件的加密。此外,只有不到一半的组织(47%)要求对存储在USB驱动器上的数据进行加密,但是有91%的员工表示公司要求他们必须使用加密的USB驱动器。该报告还暗示,云存储也不是万灵药。对将最敏感数据迁移和存储到云上,超过一半(57%)的公司和组织存在信心不足的问题。

调查报告 中老年反欺诈
近日,腾讯110平台发布最新的《中老年人反欺诈白皮书》,白皮书基于2019年上半年数据,面向中老年人网络反欺诈的专项盘点与总结,目的是为广大中老年网民提供全面防骗知识及网络安全使用指南。白皮书显示,2019年上半年,腾讯110平台共受理中老年人受骗举报量超过2万次。97%受骗的中老年人曾遭资金损失,涉案金额从百元到数万元不等。诈骗受害人群年龄分布方面,45-50岁的70后群体受骗占比超过65%,位居榜首;51-55岁的60后群体紧随其后,占比超过18%,同时该群体容易落入虚假投资等骗局,人均被骗金额最大,最高被骗金额超过10万元。

安全研究 MacOS Tarmac恶意软件
Confiant安全研究人员Taha Karim发现针对macOS用户的新恶意软件Tarmac(OSX / Tarmac)。该恶意软件的分发活动自2019年1月开始,但当时研究人员只发现了恶意payload Shlayer。在两周前发布的一份后续报告中,研究人员表示发现了Shlayer感染的第二阶段payload Tarmac。目前只知道Shlayer在受感染的主机上下载并安装了Tarmac之后,Tarmac会收集有关硬件设置的详细信息,并将此信息发送到其命令和控制服务器。然后Tarmac将等待新命令,但是由于C2服务器不可用,因此研究人员无法确定其全部功能。该恶意活动主要针对的是美国、意大利和日本的用户。

安全研究 攻击工具 BOOSTWRITE RDFSNIFFER
近日,FireEye发布最新研究报告,显示犯罪团伙FIN7在其攻击工具库中添加了两个新的成员-BOOSTWRITE和RDFSNIFFER。BOOSTWRITE是一个仅运行在内存中的释放器,其使用运行时从远程服务器获取的密钥来解密内嵌的payload,根据研究人员的表述,他们分析的一个样本是由有效的证书签名的。BOOSTWRITE会解密并加载两个payload的DLL,包括CARBANAK后门和RDFSNIFFER。RDFSNIFFER可以使攻击者监视和篡改通过NCR公司的RDFClient建立的合法连接。研究人员总结称新工具和技术的引入表明FIN7正在不断发展以适应安全性不断增强的环境。

漏洞补丁 零日漏洞 安卓系统
近日,谷歌Project Zero的研究人员披露了安卓系统中的一处零日漏洞(CVE-2019-2215),或将允许黑客完全接管受害者设备。现已有18种型号手机受到了影响,受到该漏洞影响的设备包括:Pixel 1、Pixel 1 XL、Pixel 2、Pixel 2 XL、华为P20、红米5A、红米Note、小米A1、OppoA3、Moto Z3、三星S7、三星S8、三星S9,以及Oreo LG系列手机。针对此次事件,三星方面证实,此次发现的安全漏洞涉及几乎所有Galaxy旗舰机型。其中,包括一个非常严重的漏洞和三个被评为“高危”的漏洞。总而言之,它们涉及到约21个安全问题,其中17个与三星“One”用户界面有关,4个与安卓有关,并表示会在第一时间进行修复。据有关人员介绍,编号CVE-2019-2215漏洞主要有两种利用方式:一、诱使受害者下载恶意应用;二、将该漏洞与Chrome浏览器中的漏洞联合起来使用。

漏洞补丁 大数据安全 Hadoop
最近Uber的软件工程师发现了一个Hadoop的严重漏洞,该漏洞会引发用户/组信息在储存和从fsimage中读入的时候引发崩溃。这个漏洞在后续的Hadoop版本中已经被修复,但是未经修复的版本可能会因该漏洞引起信息泄露等后果。

漏洞补丁 mac生态 命令行应用
近日,Mozilla对开源命令行应用iTerm2进行了一次安全审计,结果发现一个严重的远程代码执行漏洞。攻击者可以利用该漏洞,通过向用户的应用端发送特定编辑的返回结果,实现远程代码注入攻击。Mozilla表示,选择iTerm2进行审计的原因,是因为iTerm2有macOS所不具备的自定义功能,又因为免费从而受到大量用户的喜爱;另一方面,由于其需要处理大量不被信任的数据,所以容易成为攻击的入口。iTerm2于周三已经在最新版本中修复该漏洞。

漏洞补丁 Whatsapp
近日,Facebook旗下的即时通讯工具Whatsapp被曝可利用一张简单的GIF动图即可入侵该软件,即当用户在他们的图库中打开一个恶意GIF动图时,就可出发黑客攻击,造成用户个人信息、聊天记录等信息泄露。据悉,运行Android 8.1和Android 9系统的设备更容易遭受此类攻击。

漏洞补丁 零日漏洞 苹果 Bonjour更新器 检测逃避
近日,安全公司Morphisec的研究人员发现,苹果iTunes和iCloud程序中存在零日漏洞,允许攻击者利用BitPaymer勒索软件控制Windows计算机,并逃避检测。据悉,该安全漏洞位于Windows版iTunes附带的Bonjour更新器中,它通过零配置的网络通信协议,可在后台静默运行并自动执行各种低级网络任务,包括自动下载更新Apple软件。Apple事后紧急发布了Windows版iCloud 10.7、Windows版iCloud 7.14和Windows版iTunes 12.10.1,以解决该漏洞。专家建议在系统上安装了iTunes或iCloud的Windows用户将其软件更新到最新版本以免受到攻击。

漏洞补丁 福昕PDF阅读器 远程执行
近日,研究人员发现,福昕PDF阅读器(Windows版)存在8处漏洞,或将影响超过4.75亿用户。据悉,当用户访问恶意网站或打开恶意文件时,这些漏洞均可在该软件中远程执行恶意代码。其中,最严重的漏洞(CVE-2019-5031)位于JavaScript引擎交互进程中,允许黑客通过特制PDF文档触发,发动拒绝服务攻击。截至目前,福昕软件已发布安全补丁,建议用户尽快安装。

黑客攻击 云托管 Volusion 支付卡信息
据zdnet消息,黑客攻击了云托管在线商店提供商Volusion的基础设施,并正通过传送恶意代码,记录和窃取用户以在线形式输入的支付卡详细信息。据称,超过6500 家店铺将受到影响。黑客成功攻击Volusion的谷歌云基础设施之后,修改了一个ja vasc ript文件,并包含了记录在线表单中输入的卡详细信息的恶意代码。网络安全专家称之为Magecart攻击,诈骗者从网上商店而不是 ATM窃取支付卡细节。这种类型的黑客攻击已经发生多年了,但在过去的两年里已经加剧了。在上周发布的一份报告中,RiskIQ称Magecart攻击已经达到顶峰,在过去几个月里,超过 18000 个网站上发现了盗取卡信息的恶意脚本(被称为skimmers)。

黑客攻击 Chrome Firefox TLS流量跟踪近日,卡巴斯基实验室发布的一项调查报告显示,黑客设法找到了一种修改 Web 浏览器的方法,从而使被设计为安全且私有的 TLS 流量将带有唯一的指纹,以识别用户及其使用的电脑。据悉,黑客修改了 Google Chrome 和 Mozilla Firefox 的安装程序,让浏览器运行时包括该特殊的指纹功能。目前,研究人员无法确定黑客如何以及何时进行修改,但是黑客可能会在用户从合法来源下载安装程序时立即进行修改。

网络犯罪 信用卡盗刷 Apple Card近日,苹果今年春季刚推出的号称绝对安全隐私的Alpple Card信用卡被用户举报在未丢失卡片的情况下,被异地盗刷。据悉,苹果为了保证该信用卡的安全性,在设计初期就免去了卡号,以及CVV码等信息,只保留了芯片和磁条。针对此事件,苹果官方表示,不排除用户信息卡被人用其他设备克隆,进而导致了盗刷,最终结果会需要进一步调查。

数据泄露 俄罗斯 公民纳税信息近日,研究人员发现,一个存有2000万条俄罗斯公民纳税记录的数据集群并未设置任何安全措施,所用访问者均可通过公共网络查看这些信息。据悉,此次事件中被暴露的信息包括纳税人姓名、地址、居留身份、护照号码、电话号码、税号、雇主姓名及其电话号,以及纳税额等。据有关人士透露,该数据集群已暴露一年以上,但无法确认是否已有不法分子获取数据。目前该数据集群已经与公共网络断开连接。

信息盗取 谷歌 人脸数据近日,谷歌被曝陷入诱骗部分人群人脸信息的风波中。据悉,谷歌合同工秘密地锁定无家可归或者肤色较深的人群,并以价值5美元的代金券引诱目标,以获取他们的人脸数据,用来训练Pixel 4的人脸识别系统。谷歌合同工在接受《纽约每日新闻》采访时说,他们告诉人们可以试玩一种类似Snapchat的“自拍照游戏”,实际上偷偷记录下了他们的人脸数据。据一名谷歌的TVC(临时工、供应商或合同工)声称,任仕达的主管特别下令他们不得透露他们在记录人脸数据。

 

 


相关文章

写一条评论

 

 

0条评论