本周安全资讯
17 Jan 2019
Windows操作系统存在零日漏洞,暂无修复补丁
ThinkPHP5再曝任意代码执行漏洞
Voipo发生严重数据泄露事件,价值数十亿美元客户资料被曝光
一、信息泄露
Voipo发生严重数据泄露事件,价值数十亿美元客户资料被曝光
研究人员发现,语音服务提供商Voipo发生严重数据泄露事件,价值数十亿美元客户资料被曝光,泄露数据包括700万通话、600万短信记录和Voipo访问E911服务提供商的凭证等。据悉,此次泄露事件源于Voipo后端ElasticSearch数据库无密码保护,因此,所有人均可查询双向发送的实时呼叫日志和文本消息流。截至目前,Voipo数据库已脱机。
二、恶意软件
GoDaddy删除可能影响客户网站性能的JavaScript脚本
据外媒报道,域名注册商GoDaddy在未经管理员同意的情况下向客户网站注入JavaScript脚本,可能导致网站性能降低或无法运行。GoDaddy表示,该代码位于真实用户指标(RUM)系统,主要用于衡量和跟踪网站性能,以便改进系统、优化DNS解析并改善网络路由和服务器配置。意识到该代码可能引起用户担忧后,GoDaddy承诺立即将其删除,用户也可在其托管终端退出该系统。
研究人员创建PoC恶意软件,可入侵智能建筑
据媒体报道,安全公司ForeScout创建PoC恶意软件,可远程入侵智能建筑。据悉,研究人员在楼宇自动化系统中共发现了8个漏洞,除已被供应商修复的2个漏洞外,还有路径遍历漏洞、任意文件删除漏洞、跨站点脚本(XSS)漏洞和身份验证绕过漏洞等6个此前未知漏洞,黑客可利用这些漏洞执行恶意操作、窃取敏感信息、访问或删除关键文件。
三、漏洞曝光
Windows操作系统存在零日漏洞,暂无修复补丁
研究人员发现,Windows操作系统中存在零日漏洞,允许远程攻击者执行任意代码,Windows处理vCard文件(VCF)的方式受影响。该漏洞CVSS 3.0评分为7.8,需要通过用户交互触发,允许Windows操作系统在不显示警告的情况下运行恶意可执行文件。截至目前,该漏洞暂无修复补丁,研究人员已发布其概念验证PoC代码,专家建议避免打开未知来源文件以保护设备。
ThinkPHP5再曝任意代码执行漏洞
近日,ThinkPHP5再曝任意代码执行漏洞,允许黑客远程执行任意代码,ThinkPHP版本5.0–5.0.23受影响。据悉,该漏洞出现在处理请求的类中,黑客可控制类的属性及类方法的调用。截至目前,研究人员已发现有境外黑客利用该漏洞概念验证PoC代码对企业等网站进行探测,因此,专家建议用户及时安装修复补丁,并使用第三方防火墙进行防护,以免遭受攻击。
在线游戏Fortnite曝多个漏洞,黑客可接管玩家账户
研究人员发现,热门在线对战游戏Fortnite存在多个安全漏洞,包括SQL注入漏洞、跨站点脚本(XSS)漏洞、Web应用程序防火墙绕过漏洞及OAuth账户漏洞。其中,OAuth账户漏洞允许远程攻击者通过玩家交互完全接管玩家账号、访问玩家的个人信息,并购买游戏中的虚拟货币、游戏设备等。截至目前,该漏洞已被修复,专家建议所有用户保持警惕。
机票预订系统曝光严重安全漏洞,影响全球141家航空公司
据外媒报道,由Amadeus开发的在线机票预订系统被曝出现严重安全漏洞,允许黑客查看和更改其客户的私人信息,141家国际航空公司受影响,包括美国联合航空公司、汉莎航空公司和加拿大航空公司的部分客户。据悉,该系统可控制全球44%的在线预订市场,专家预测该漏洞可能已影响数亿旅客。截至目前,该漏洞已得到修复。
四、安全资讯
Mozilla宣布Firefox 69将禁用Adobe Flash
据外媒报道,Mozilla宣布Firefox 69将禁用Adobe Flash,Firefox扩展支持版本(ESR)也将于2020年底禁用该插件。该决定源于Adobe宣布从2018年7月起禁用Flash Player,并于2020年底前停止提供该插件的安全更新。据悉,该插件在过去几年内被发现存在大量关键漏洞,苹果、Facebook、谷歌、微软等主要操作系统和浏览器公司也将逐渐弃用该插件。
特斯拉以Model 3轿车悬赏汽车软件漏洞
近日,特斯拉在黑客大赛发布声明称,若网络安全研究人员成功入侵特斯拉汽车并找到其系统漏洞,将获赠一辆Model 3轿车。据悉,特斯拉开展漏洞赏金计划已有4年,向发现其系统漏洞的黑客累计提供奖金数十万美元,2018年更是将赏金上限提高到1.5万美元,并采取措施安抚担心遭受黑客攻击的车主。
閱讀更多 安勝ANSCEN 的文章
