每日安全简讯(20180417)

1 Intel SPI Flash曝出漏洞可删除BIOS/UEFI固件

英特尔解决了多个 CPU 系列配置中的一个漏洞问题。该漏洞可导致攻击者更改芯片的 SPI Flash 内存（在启动进程中使用的一个强制性组件）行为。英特尔在4月3日为该漏洞 (CVE-2017-5703) 提供了修复方案，已发布缓解措施；据该公司所知，漏洞并未遭外部黑客利用。


https://www.bleepingcomputer.com ... bios-uefi-firmware/

---

2 黑客利用IIS 6.0服务器漏洞进行恶意挖矿活动

黑客使用Windows IIS 6.0服务器漏洞CVE-2017-7269接管服务器，并安装用于挖掘Electroneum加密货币的恶意软件。


https://www.bleepingcomputer.com ... ining-via-iis-flaw/

---

3 黑客利用鱼缸物联网温度计窃取了赌场的数据库

网络安全公司Darktrace的研究人员表示物联网设备扩大了攻击面，一个案例是黑客通过水族箱的温度计在一家未公开名字的赌场网络建立持久机制，然后从网络中发现了一个重要数据库，将其搬到了云端。


https://thehackernews.com/2018/04/iot-hacking-thermometer.html

---

4 安全厂商发布智能家居中IoT设备漏洞风险分析

安全厂商趋势科技发布智能家居中IoT设备漏洞风险情况分析，研究人员表示已发现了不同设备制造商的漏洞，攻击者可以未经授权远程控制设备甚至损坏这些设备。具体包括WeMo设备的拒绝服务漏洞，Buffalo存在超过三年的RCE漏洞。


https://blog.trendmicro.com/tren ... execution-and-more/

---

5 研究者披露工业路由器Moxa EDR-810多个漏洞

安全厂商思科的研究人员近期发现工业路由器Moxa EDR-810的17个漏洞，这些设备用于工业环境中，用于PLC和SCADA系统，以及石油、天然气中的DCS。研究人员表示Moxa EDR-810的Web服务器功能中存在可远程利用的命令注入漏洞，可通过特制的HTTP POST实现特权升级。


https://securityaffairs.co/wordp ... -edr-810-flaws.html

---

6 Google电子邮件服务Gmail推出了邮件自毁功能

Google 被发现正在测试 Gmail 的邮件自毁功能。新的功能允许发件人设定邮件的过期日期，该功能被称为“保密模式”，收件人不能转发邮件、也不能粘贴拷贝，不能下载和打印邮件。发件人可以设定邮件消失的日期，比如一周、一个月或几年，发件人还可以要求收件人通过短信接收的密码确认身份。


https://www.solidot.org/story?sid=56160

---