每日安全简讯(20180427)

1 CNCERT发布2017年网络安全态势综述

2017 年，在各方的共同努力下，我国网络安全防护和网络安全事件应急响应水平得到提升，网络安全国际合作进一步加强。但随着互联网应用的深化、网络空间战略地位的日益提升，网络空间已经成为国家或地区安全博弈的新战场，我国面临的安全问题日益复杂，敲诈勒索病毒盛行，分布式拒绝服务攻击事件峰值流量持续突破新高，联网智能设备面临的安全威胁加剧，工业控制系统安全风险在加大，网络攻击“武器库”泄露给网络空间安全造成严重的潜在安全威胁，APT组织依然活跃等问题，对我国实现建设成为网络强国目标不断提出新的挑战。


http://www.cert.org.cn/publish/m ... 5824451408914_.html

---

2 西部数据NAS存储设备可泄露用户文件

安全厂商Trustwave的研究人员发现西部数据网络附加存储设备My Cloud EX2，在本地网络中泄露文件，允许任何未经身份验证的本地网络用户使用http请求从设备获取任何文件。


https://securityaffairs.co/wordp ... -my-cloud-flaw.html

---

3 研究者披露SaferVPN浏览器扩展漏洞

安全研究人员发现SaferVPN Chrome扩展中存在漏洞，编号为CVE-2018-10308。恶意攻击者可利用该漏洞在用户访问网站时返回重要信息数据如IP地址。随后在其他VPN产品中，包括PureVPN，Hotspot Shield和Zenmate都可以泄露敏感数据。


https://securityaffairs.co/wordp ... cve-2018-10308.html

---

4 安全厂商揭示生物物联网的安全风险

安全厂商趋势科技揭示生物物联网（Bio-IoT）可能存在的安全风险，Bio-IoT是指应用于生物系统的物联网，如药物输送系统、植入式医疗设备、智能义肢以及病人远程监护等。研究人员表示如果没有强有力的安全机制，攻击者可能向神经刺激器发送恶意指令，向患者大脑传递不需要的信号，对大脑造成不可逆转的损害甚至危及声明。


https://blog.trendmicro.com/the-risks-of-bio-iot/

---

5 欧洲刑警捣毁大型付费DDoS服务网站

据外媒报道，当地时间周三上午，欧洲刑警组织宣布关闭了Webstresser[.]org。一个明码标价出售DDoS网络攻击的网站。据欧洲刑警披露，该网站总共有13.6多万名用户，截止到4月前总共发起了400万起网络攻击。


https://www.cnbeta.com/articles/tech/720375.htm

---

6 微软发布Spectre V2漏洞缓解补丁包

微软漏洞的修补策略是，如果最初没有成功，然后再试，再试一次。微软在2018年一月初发布补丁导致系统高频重启后，决定停止Spectre v2补丁的推出。昨天发布了两个windows更新，旨在修复Spectre v2漏洞。


https://www.bleepingcomputer.com ... ctre-2-mitigations/

---