网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】Git爆任意代码执行漏洞,所有使用者都受影响

2018-06-01 08:08 推荐: 浏览: 37 views 字号:

摘要: Git爆任意代码执行漏洞,所有使用者都受影响Git 由于在处理子模块代码库的设置档案存在漏洞,导致开发者可能遭受任代码执行攻击,多数代码托管服务皆已设置拒绝有问题的代码储存库,但建议使用者尽快更新,避免不必要的风险。 Microsoft Visual Stud...

Git爆任意代码执行漏洞,所有使用者都受影响Git 由于在处理子模块代码库的设置档案存在漏洞,导致开发者可能遭受任代码执行攻击,多数代码托管服务皆已设置拒绝有问题的代码储存库,但建议使用者尽快更新,避免不必要的风险。

Microsoft Visual Studio 团队服务项目经理 Edward Thomson May 在 DevOps 博客中提到,Git 社区最近发现 Git 存在一个漏洞,允许黑客执行任意代码。 他敦促开发人员尽快更新客户端应用程序。 微软还采取了进一步措施,防止恶意代码库被推入微软的 VSTS(Visual Studio Team Services)。

参考来源:

https://www.oschina.net/news/96614/git-flaw

Windows曝0day远程代码执行漏洞近日,windows系统又发现一起0day漏洞,该漏洞是由系统中的JScript组件造成的,允许远程攻击者在用户的PC上执行恶意代码,虽然微软并未提供计划推出补丁的确切时间表,但一位发言人表明他们正在进行修复。Windows 操作系统的JScript组件中存在一个0day漏洞,可能允许攻击者在用户计算机上执行恶意代码。5月30日,ZDI发布了一份报告,其中包含有关该错误的详细技术细节。

参考来源:

https://www.easyaq.com/news/1234486782.shtml

警告:黑客组织Iron瞄准中国门罗币钱包发起攻击以色列网络安全公司 Intezer 5月29日发博文称,其在2018年4月监测公共数据流时发现一个先前未知的后门。该后门由 Iron 勒索软件背后的网络犯罪组织开发,Interzer 将该组织称为“Iron网络犯罪组织”(Iron Cybercrime Group),且怀疑该黑客组织来源于中国。

据推测,Iron 网络犯罪组织过去18个月一直处于活跃状态。该组织在此次的后门中使用了意大利间谍软件厂商 Hacking Team 被泄露的 RCS 源代码。

参考来源:

https://www.secrss.com/articles/3043

新型银行木马使用微软SQL Server作为C&C服务器进行通信在近期针对巴西金融服务行业的网络攻击活动中,IBM X-Force研究团队发现了一种基于Delphi(Windows平台下知名的快速应用程序开发工具)的新型银行木马。该银行木马被命名为“MnuBot”的银行木马,吸引IBM X-Force研究团队注意的地方在于其不同寻常的命令和控制(C&C)服务器。

对于大多数银行木马或者其他类型的恶意软件而言,它们都会使用C&C服务器,用于与恶意软件进行通信,并发送要执行的命令。通常来讲,C&C服务器会是基于某种形式的Web服务器或Internet中继聊天(Internet Relay Chat,IRC)频道。

参考来源:

https://www.hackeye.net/threatintelligence/14349.aspx

加利福尼亚州参议院投票通过法案 以恢复网络中立性原则据外媒The Verge报道,加利福尼亚州参议院周三投票通过一项法案,该法案将恢复美国联邦通信委员会(FCC)去年12月废除的网络中立原则。这项名为SB 822的法案由参议员Scott Wiener在3月份撰写,并获得了三个委员会的通过。加州参议院以23-12的票数通过新法案。

Wiener在上个月的一份声明中表示:“在奥巴马总统的领导下,我们的国家在朝着正确的方向发展,确保一个开放的互联网,但特朗普领导下的FCC通过废除网络中立性使美国人民失去支持和帮助。”

参考来源:

http://hackernews.cc/archives/23199

社交健康追踪应用PumpUp泄露用户数据超过600万用户的流行健身应用PumpUp泄露了用户私密和敏感数据,包括健康信息和用户之间发送的私人消息。该公司的核心后端服务器托管在亚马逊的云端,没有密码就可以暴露出来,让任何人都可以看到谁在登录,谁是实时发送消息及其内容。安全研究员Oliver Hough找到了暴露的服务器。

暴露的数据包括电子邮件地址,出生日期,性别以及用户位置;用户的锻炼和活动目标以及用户的全分辨率个人资料照片;用户提交的健康信息,如身高、体重和其他数据,如咖啡因和饮酒,吸烟频率,健康问题,药物;暴露数据中还包括设备数据、用户的IP地址以及应用的会话口令,这些口令无需密码就可以访问用户的帐户。

参考来源:

https://www.zdnet.com/article/fitness-app-pumpup-leaked-health-data-private-messages/

二手手机泄露用户隐私 苹果恢复大师回应称“将加强隐私保护”5月29日,新京报刊发《二手手机泄露隐私:网上1毛钱一条卖机主信息》一文,记者在实测手机数据恢复时,淘宝卖家通过一款名为苹果恢复大师的软件为记者将电话号码进行还原。

当天,苹果恢复大师开发厂商苏州开心盒子软件有限公司对此作出回应:我们在设计产品的时候非常注重安全性的设计,要使用开心盒子软件必须具备解锁手机的权限。开心盒子方面表示,之所以推出这样一款数据恢复软件,源于公司研发团队深知数据丢失的遗憾与痛苦,同时在经过一定市场调查后,发现有很大用户群体存在类似情况,因此研发推广出这款应用软件。

参考来源:

http://www.bjnews.com.cn/finance/2018/05/30/488919.html

 

关于安全帮

安全帮,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.net) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系站长租广告位!

中国首席信息安全官


关闭


关闭