网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】“间谍芯片门”持续发酵:韩国大举排查服务器、华为再躺枪

2018-10-21 09:08 推荐: 浏览: 35 views 字号:

摘要: 甲骨文例行更新修复了 301 个安全漏洞 包含 45 个严重漏洞甲骨文(Oracle)于本周进行了每季度的例行重要补丁更新(Critical Patch Update,CPU),修复了 301 个安全漏洞,其中有 45 个被列为严重(Critical)等级,在...

甲骨文例行更新修复了 301 个安全漏洞 包含 45 个严重漏洞甲骨文(Oracle)于本周进行了每季度的例行重要补丁更新(Critical Patch Update,CPU),修复了 301 个安全漏洞,其中有 45 个被列为严重(Critical)等级,在 CVSS 漏洞评分系统上达到 9.8 分,最严重的 CVE-2018-2913 为 10 分。

本周的修复更新涉及到甲骨文旗下的十多款产品,其中漏洞最多的产品为 Fusion Middleware,总共修复了 65 个相关漏洞。其他依次是 Oracle MySQL 的 38 个、Retail 的 31 个与 PeopleSoft 的 24 个。本次甲骨文只修复了 Java SE 上的 12 个漏洞,有 11 个可通过远程进行利用。这是甲骨文 2018 年的最后一次修复更新,也让今年漏洞的总修复量达到了 1119 个。

参考来源:

https://www.oschina.net/news/100976/oracle-critical-patch-update-oct

间谍芯片门持续发酵:韩国大举排查服务器、华为再躺枪集微网消息,彭博于10月5日爆出的“间谍芯片门”虽无实质证据,但是对产业的影响仍在持续发酵。近日,韩国政府怀疑本国的众多服务器主板中被Super Micro的所谓改装芯片入侵,韩国公共机构和研究机构将对其服务器进行彻底排查,并计划在发现安全问题时更换其计算机系统。韩国方面认为,由于Super Micro因涉嫌利用间谍芯片进行黑客攻击,使用Super Micro服务器的韩国政府机构、研究机构和金融机构的安全问题越来越多,包括电子和电信研究所(ETRI)和韩国航空航天研究所(KARI),三星,SK,LG,KT和POSCO以及大学,金融机构,政府机构和网络托管服务提供商等,对技术可能泄露的关注日益增加。 “国家情报局正在检查国家机构,我们正在检查移动运营商和门户网站,”该部门表示,在大学和广播电台中也存在有疑虑的服务器。另一方面,韩国对“间谍芯片”的忧虑甚至无辜波及到华为5G设备。SK Telecom已将华为从其5G设备合作伙伴名单中剔除。

参考来源:

https://www.secrss.com/articles/5827

新的LibSSH漏洞允许黑客在无需密码的情况下接管你的服务器LibSSH官方在本周二发布的安全公告中披露了一个已存在四年之久的高风险漏洞,它允许攻击者绕过身份验证,在不需要密码的情况下获取对受该漏洞影响服务器的完全控制权限。LibSSH是一个C 函数库,用于实现SSH2协议。这个新的安全漏洞被追踪为CVE-2018-10933,是一个在2014年初发布的Libssh 0.6版本中引入的SSH2登陆身份验证绕过漏洞。根据周二发布的安全公告,想要成功利用这个漏洞,攻击者所需要做的仅仅是通过向启用了SSH连接的服务端发送“SSH2_MSG_USERAUTH_SUCCESS”消息来代替服务端期望启动身份验证的“SSH2_MSG_USERAUTH_REQUEST”消息。

参考来源:

https://www.hackeye.net/threatintelligence/16823.aspx

安卓收费要多少钱?每台设备最多40美元一般20美元据外媒报道,一位知情人士当地时间周五表示,按照一项全新的授权制度,Alphabet旗下谷歌公司将向使用其应用的硬件公司的每台设备收取最高达40美元的费用。这项新的授权制度取代了欧盟今年认为不利于竞争的老的许可体系。

该公司当地时间周二宣布,对于在欧洲经济区(EEA)推出、运行谷歌Android操作系统的任何新智能手机或平板电脑机型,这项新收费制度将于10月29日生效。

这位知情人士还表示,每台设备收费可能会低至2.50美元,具体收取多少则根据国家和设备尺寸大小的不同来决定。这是针对整个制造商的标准,多数制造商可能要为每台设备支付20美元左右。这项收费适用于谷歌应用商店(Google Play)、Gmail和谷歌地图(Google Maps)等一系列应用。

参考来源:

http://tech.163.com/18/1020/09/DUI631CR00097U7S.html

作业类App暗藏百款网游含涉黄游戏 老师推广可送话费近日,深圳的赵先生向记者反映,上小学三年级的儿子每天都在使用一款名为“一起小学学生”的手机App,因为老师要在上面布置家庭作业。而赵先生反映在“成长世界”的板块中竟出现了网络游戏,孩子们可以通过完成任务来获得一定的分数,分数可以兑换虚拟货币,从而购买道具或者饲养电子宠物来和同学进行PK。 一些学习App的运营者,除了利用教学的幌子推广游戏以外,还有更“滑头”的做法,就是将App里的游戏通道转移到了微信公众号中,把中小学生用户引导到App以外的地方,试图逃避监管。一款名为“互动作业”的App出现大量与学习无关的内容,而“互动作业”的微信公众号除了利用游戏引导中小学生进行社交,还包含大量性暗示、性诱惑、不良价值取向的网络游戏。

参考来源:

https://m.huanqiu.com/r/MV8wXzEzMzE1NzUwXzEyNjRfMTU0MDAyNTc2MA==

美国3500万选民的数据在网上售卖 卖方称数据真实可信销售数据泄露信息的论坛上的广告还提供了数百万美国居民的个人身份信息和投票历史。 估计的缓存大小超过3500万条记录。该公告称,所售出的数据来自更新的全州选民名单,包括数百万个电话号码,完整地址和姓名。数据来自美国20个州。卖方仅为三个州的列表提供记录数量:路易斯安那州(300万),威斯康星州(600万)和德克萨斯州(1400万),价格在1,300美元到12,500美元之间。所有列表都可以以不同的价格购买,可能根据它们包含的记录数量。 例如,最便宜的是明尼苏达州,目前售价150美元。

参考来源:

http://toutiao.secjia.com/article/page?topid=110982

苹果改进隐私网站 允许美国用户下载个人数据

据科技网站CNET报道,苹果的隐私门户网站近几年来几乎并未发生任何大的变化,隐私页面上总是写着苹果公司长期一贯声称的同样承诺,比如隐私权是一项“基本人权”,用户的信息大部分来自其使用的iPhone、iPad和Mac机。但随着iOS 12和macOS Mojave新系统中出现一系列新的安全和隐私特性,一些涉及隐私的政策则必须与时俱进地加以更新改进,而隐私网页里也将添加涉及点到点加密FaceTime视频呼叫信息以及智能跟踪保护的隐私信息。此次更新还有一个最关键的补充:苹果正在扩展其数据门户,以允许美国客户下载存储在公司的他们个人的数据副本。

而在几个月前,欧洲用户已获得了这一下载功能。因为五月欧盟新推出的《通用数据保护条例》(GDPR)要求在欧洲经营的公司允许客户获取他们自己的数据副本。苹果今年年初已做出承诺,将把这一个人数据下载功能扩展到美国客户,随后加拿大、澳大利亚和新西兰的用户也将可以请求下载他们的个人数据。

参考来源:

http://hackernews.cc/archives/23966

关于安全帮

安全帮,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系站长租广告位!

中国首席信息安全官


关闭


关闭