1 安全厂商发现Mirai和Gafgyt僵尸网络新活动
2018年5月底针对Mirai和Gafgyt恶意软件系列的公开可用源代码构建的三个恶意软件包含多个影响物联网(IoT)设备的已知漏洞。这些活动的样本在单个样本中包含多达11个漏洞,超过了IoT Reaper恶意软件,它借用了一些Mirai源代码,但也带有集成的LUA环境,(其代码中包含9个漏洞)。在其最新发展中,样本还针对D-Link DSL-2750B操作系统命令注入漏洞。paloalto在分析其中一个样本时还发现它们支持以前未被Mirai变体使用的几种新的DDoS方法。
https://researchcenter.paloalton ... x-botnet-campaigns/
2 研究人员怀疑微软浏览器的XSS过滤器已失效
根据网络安全公司PortSwigger的安全研究员Gareth Heyes的说法,Microsoft Edge浏览器附带的安全功能XSS Filter似乎已停止运行。XSS Filter可以防止浏览器内部的基本跨站点脚本(XSS)攻击。默认情况下,XSS过滤器应该打开,但是,它现在默认关闭,即使尝试使用X-XSS-Protection打开它仍然关闭。研究人员认为这不是微软有意重新配置的,而是一个错误。
https://www.bleepingcomputer.com ... pears-to-be-broken/
3 黑客利用假礼品卡欺骗用户并盗取个人信息
卡巴斯基实验室发现网络犯罪分子用领取免费礼品卡吸引用户,重定向用户到第三方合作伙伴网站。为客户提供iTunes,Google Play,亚马逊或Steam等知名组织礼品卡的网站已经存在了一段时间,黑了利用此契机及人们希望得到免费东西的心理进行欺骗。在假网站上,用户被要求选择他或她想要的礼品卡以便接收验证码。接下来用户需要完成一系列操作流程,包括填写包含号码和电子邮件地址,插入广告软件,订阅付费SMS服务等的表格。犯罪分子可能从链接的点击次数、填写表格或订阅付费服务的份数获得相应报酬。第三方合作伙伴可以通过访问个人数据获益,这些数据可用于私人目的。
https://www.itweb.co.za/content/Gb3BwMWoAPQM2k6V
4 健身可穿戴设备中存在漏洞会泄露个人信息
安全研究人员发现健身可穿戴设备,Ivy Health Kids Thermometer,Modius Headband和Digitsole Warm Insoles中存在一些漏洞,黑客可以利用漏洞访问设备API,甚至可以获取用户敏感的个人信息。Ivy Health儿童温度计是一款适用于婴儿和幼儿的便携式温度计,其安全漏洞使黑客能够访问使用该设备进行测量的儿童的姓名,性别,出生日期和其他详细信息。黑客可以访问温度测量历史记录和以前用户的详细信息。帮助用户实现减肥目标的Modius头带会泄露位置等敏感信息,通过Facebook集成跟踪信息,体重,身高,体脂百分比和用户指纹给第三方。网络罪犯可以利用指纹访问用户的手机或银行账户。支持蓝牙的Digitsole Warm Insoles,允许用户跟踪他们的活动并调整他们的鞋子温度以获得最佳性能,黑客能利用漏洞控制可穿戴设备,收集位置信息和Facebook数据,甚至可以远程升高设备的温度。
https://www.scmagazineuk.com/fla ... ers/article/1488374
5 人力资源服务公司ComplyRight遭数据泄露
ComplyRight是一家为企业提供人力资源职能的公司,拥有超过76,000名客户。该公司发生数据泄露事件,暴露了公司处理的员工纳税表中的姓名,地址,电话号码,电子邮件地址和社会安全号码等信息。该事件发生在2018年5月下旬,在7月18日被披露出来。研究人员表示没有找到ComplyRight公司具有安全头衔的员工。更为危险的是与公司进行业务交易的客户可能在认证时被重定向到其他服务器。
https://www.darkreading.com/appl ... d_dr_x_x-rss-simple
6 Adobe修补了影响其内部系统的程序漏洞
安全研究公司发现通过Adobe的一些事件营销注册表提交的代码最终进入了该公司的一个主要数据库,从那里传播到电子邮件和Web服务。该漏洞是事件营销注册的表单中的跨站点脚本(XSS)错误导致的。研究人员表示有多个域可以插入恶意代码,并且有多个地方可以执行代码。漏洞利用代码是通过Adobe发送的电子邮件和公司的一些域名发送的。Adobe表示该漏洞已经被修复。
https://www.securityweek.com/ado ... ng-internal-systems
|
发表于 2018-7-22 21:47
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡