本週安全資訊
17 Jan 2019
Windows操作系統存在零日漏洞,暫無修復補丁
ThinkPHP5再曝任意代碼執行漏洞
Voipo發生嚴重數據洩露事件,價值數十億美元客戶資料被曝光
一、信息洩露
Voipo發生嚴重數據洩露事件,價值數十億美元客戶資料被曝光
研究人員發現,語音服務提供商Voipo發生嚴重數據洩露事件,價值數十億美元客戶資料被曝光,洩露數據包括700萬通話、600萬短信記錄和Voipo訪問E911服務提供商的憑證等。據悉,此次洩露事件源於Voipo後端ElasticSearch數據庫無密碼保護,因此,所有人均可查詢雙向發送的實時呼叫日誌和文本消息流。截至目前,Voipo數據庫已脫機。
二、惡意軟件
GoDaddy刪除可能影響客戶網站性能的JavaScript腳本
據外媒報道,域名註冊商GoDaddy在未經管理員同意的情況下向客戶網站注入JavaScript腳本,可能導致網站性能降低或無法運行。GoDaddy表示,該代碼位於真實用戶指標(RUM)系統,主要用於衡量和跟蹤網站性能,以便改進系統、優化DNS解析並改善網絡路由和服務器配置。意識到該代碼可能引起用戶擔憂後,GoDaddy承諾立即將其刪除,用戶也可在其託管終端退出該系統。
研究人員創建PoC惡意軟件,可入侵智能建築
據媒體報道,安全公司ForeScout創建PoC惡意軟件,可遠程入侵智能建築。據悉,研究人員在樓宇自動化系統中共發現了8個漏洞,除已被供應商修復的2個漏洞外,還有路徑遍歷漏洞、任意文件刪除漏洞、跨站點腳本(XSS)漏洞和身份驗證繞過漏洞等6個此前未知漏洞,黑客可利用這些漏洞執行惡意操作、竊取敏感信息、訪問或刪除關鍵文件。
三、漏洞曝光
Windows操作系統存在零日漏洞,暫無修復補丁
研究人員發現,Windows操作系統中存在零日漏洞,允許遠程攻擊者執行任意代碼,Windows處理vCard文件(VCF)的方式受影響。該漏洞CVSS 3.0評分為7.8,需要通過用戶交互觸發,允許Windows操作系統在不顯示警告的情況下運行惡意可執行文件。截至目前,該漏洞暫無修復補丁,研究人員已發佈其概念驗證PoC代碼,專家建議避免打開未知來源文件以保護設備。
ThinkPHP5再曝任意代碼執行漏洞
近日,ThinkPHP5再曝任意代碼執行漏洞,允許黑客遠程執行任意代碼,ThinkPHP版本5.0–5.0.23受影響。據悉,該漏洞出現在處理請求的類中,黑客可控制類的屬性及類方法的調用。截至目前,研究人員已發現有境外黑客利用該漏洞概念驗證PoC代碼對企業等網站進行探測,因此,專家建議用戶及時安裝修復補丁,並使用第三方防火牆進行防護,以免遭受攻擊。
在線遊戲Fortnite曝多個漏洞,黑客可接管玩家賬戶
研究人員發現,熱門在線對戰遊戲Fortnite存在多個安全漏洞,包括SQL注入漏洞、跨站點腳本(XSS)漏洞、Web應用程序防火牆繞過漏洞及OAuth賬戶漏洞。其中,OAuth賬戶漏洞允許遠程攻擊者通過玩家交互完全接管玩家賬號、訪問玩家的個人信息,併購買遊戲中的虛擬貨幣、遊戲設備等。截至目前,該漏洞已被修復,專家建議所有用戶保持警惕。
機票預訂系統曝光嚴重安全漏洞,影響全球141家航空公司
據外媒報道,由Amadeus開發的在線機票預訂系統被曝出現嚴重安全漏洞,允許黑客查看和更改其客戶的私人信息,141家國際航空公司受影響,包括美國聯合航空公司、漢莎航空公司和加拿大航空公司的部分客戶。據悉,該系統可控制全球44%的在線預訂市場,專家預測該漏洞可能已影響數億旅客。截至目前,該漏洞已得到修復。
四、安全資訊
Mozilla宣佈Firefox 69將禁用Adobe Flash
據外媒報道,Mozilla宣佈Firefox 69將禁用Adobe Flash,Firefox擴展支持版本(ESR)也將於2020年底禁用該插件。該決定源於Adobe宣佈從2018年7月起禁用Flash Player,並於2020年底前停止提供該插件的安全更新。據悉,該插件在過去幾年內被發現存在大量關鍵漏洞,蘋果、Facebook、谷歌、微軟等主要操作系統和瀏覽器公司也將逐漸棄用該插件。
特斯拉以Model 3轎車懸賞汽車軟件漏洞
近日,特斯拉在黑客大賽發佈聲明稱,若網絡安全研究人員成功入侵特斯拉汽車並找到其系統漏洞,將獲贈一輛Model 3轎車。據悉,特斯拉開展漏洞賞金計劃已有4年,向發現其系統漏洞的黑客累計提供獎金數十萬美元,2018年更是將賞金上限提高到1.5萬美元,並採取措施安撫擔心遭受黑客攻擊的車主。
閱讀更多 安勝ANSCEN 的文章
