每日安全简讯(20180129)

1 开源论坛phpBB遭黑客入侵并传播恶意代码

流行的phpBB开源论坛软件遭未知黑客入侵，黑客侵害了两个phpBB安装包的下载地址，并将其指向第三方服务器，大约三小时后黑客通过供应链攻击方式传播受感染的phpBB软件。


http://securityaffairs.co/wordpr ... ks-compromised.html

---

2 俄罗斯监管机构审查McAfee等产品源代码

据路透社报道，俄罗斯被允许挖掘美国政府使用的软件漏洞。路透社周四报道，SAP，赛门铁克和迈克菲都向全球客户销售业务和安全软件，这让俄罗斯当局能够审查他们的代码。


http://www.cnbeta.com/articles/soft/693007.htm

---

3 联想修复ThinkPad指纹扫描器硬编码漏洞

联想的指纹扫描管理软件Fingerprint Manager Pro被发现存在硬编码密码漏洞，该密码是存储在指纹扫描器中，可用于登陆到用户计算机。联想针对此漏洞发布了一个修补程序。


https://threatpost.com/lenovo-fi ... nt-scanners/129680/

---

4 安全厂商揭示谷歌广告被滥用传播挖矿活动

安全厂商趋势科技近期发现门罗币挖矿代码Coinhive数量激增，研究显示其与谷歌DoubleClick广告服务有关，观察到两个位于AWS上托管的独立的挖矿脚本，都是由被加载DoubleClick广告的网页调用。


https://blog.trendmicro.com/tren ... ptocurrency-miners/

---

5 研究者发布2017年反序列化漏洞年度报告

安全研究人员表示2017年出现的反序列化漏洞和以往反序列漏洞在漏洞形成方式上不太一样，在以往都是由于Java自身的反序列特征导致的漏洞，2017年则多了fastjson，Jackson等，这两个库都能将json文本转换成具体的java bean，在这个转换过程中会调用相应的setter方法和getter方法从而导致远程代码执行。2017年还出现关于XMLDecoder和XStream的应急，都是因为依赖问题导致的缺陷。


https://paper.seebug.org/514/

---

6 日本加密货币交易所遭遇黑客入侵损失4亿$

日本最大加密货币交易所之一的 Coincheck，刚刚遭遇了一起严重的黑客入侵事件，并且给用户造成了高达 4 亿美元的损失。彭博报道称，该公司为用户提供“新经币”（NEM）的存取服务，但有 5 亿 NEM 币在本次事件中被非法转移。


http://www.cnbeta.com/articles/tech/693609.htm

---