每日安全简讯(20170918)

1.PHP开源框架发布更新并修补关键漏洞

PHP开源框架Magento发布了更新，也修复了关键的远程代码执行漏洞。拥有权限的Magento管理人员可以在创建新的CMS页面时引入恶意代码，这可能导致远程代码执行。


http://securityaffairs.co/wordpr ... tical-rce-flaw.html

---

2.安全厂商揭示网页浏览器挖矿恶意活动

安全厂商ESET发现一些在浏览器中运行的JavaScript文件在挖掘虚拟货币。受此威胁影响的国家主要有俄罗斯，乌克兰，白俄罗斯，哈萨克斯坦，摩尔多瓦。挖矿脚本的主要传播手段是恶意广告活动，通过购买合法的广告流量来传播恶意代码，针对目标往往是具有高于正常CPU的视频流或游戏网站。


https://www.welivesecurity.com/2 ... ining-union-profit/

---

3.BT盗版网站秘密地在后台运行挖矿程序

BT盗版网站海盗湾在其网站上添加了一个 由Coinhive提供的Javascript比特币挖掘脚本，采用加密方式注入到访问海盗湾的用户电脑当中进行挖掘比特币计算，部分用户已经注意到他们电脑上的资源使用增加。


http://www.cnbeta.com/articles/soft/652355.htm

---

4.黑客通过LinkedIn账户来实施钓鱼攻击

安全厂商Malwarebytes的研究人员发现黑客使用Premium LinkedIn用户向受害者发送一个恶意的Google Doc文件或者网络钓鱼链接、将用户重定向到恶意网站，欺骗用户输入Gmail，Yahoo和AOL的登录凭据。


http://www.ibtimes.co.uk/linkedi ... credentials-1639591

---

5.新加披网络安全局发布2016年威胁报告

新加坡网络安全局CSA发布了2016年威胁报告，其表示新加坡特别易受网络攻击，包括勒索软件、网络钓鱼和APT。受网络攻击影响的包括中小企业SME，个人和关键信息基础设施（CII）以及政府、医疗健康和银行及金融部门。


https://www.csa.gov.sg/news/publ ... yber-landscape-2016
SingaporeCyberLandscape2016.pdf (1.67 MB, 下载次数: 45)

2017-9-17 22:26 上传

点击文件名下载附件

---

6.研究者向IETF递交关于漏洞报告的草案

安全研究员Ed Foudil向互联网工程任务组（IETF）递交了一个Security.txt草案，寻找标准化网站的安全政策，这一文件类似定义Web 和搜索引擎爬虫政策的robots.txt文件。举例来说，如果一名安全研究人员发现了一个网站的漏洞，他可以访问该网站的security.txt 文件，获取如何联络公司和递交安全漏洞报告。但就像一些爬虫会无视robots.txt去抓取网站内容，security.txt看起来也容易被滥用，比如被垃圾信息发送者滥用。


http://www.solidot.org/story?sid=53866

---