网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】Linux 曝出 TCP 拒绝服务漏洞

2019-06-20 09:12 推荐: 浏览: 49 views 字号:

摘要: Linux 曝出 TCP 拒绝服务漏洞 Netflix 工程师在 Linux 和 FreeBSD 内核中发现了多个 TCP 网络漏洞。漏洞与最小分段大小(MSS)和 TCP Selective Acknowledgement(SACK)有关,其中最严重的漏洞绰...

Linux 曝出 TCP 拒绝服务漏洞

Netflix 工程师在 Linux FreeBSD 内核中发现了多个 TCP 网络漏洞。漏洞与最小分段大小(MSS)和 TCP Selective Acknowledgement(SACK)有关,其中最严重的漏洞绰号为 SACK Panic,允许远程对 Linux 内核触发内核崩溃。SACK Panic 漏洞编号 CVE-2019-11477,影响 2.6.29 以上版本,漏洞补丁已经发布,一个权宜的修复方法是将 /proc/sys/net/ipv4/tcp_sack 设为 0

参考来源:

https://www.solidot.org/story?sid=61023

 

CBP分包商出现重大数据泄露事件 至少5万名美国车牌信息在暗网出售

援引美国有线电视新闻网(CNN)报道,美国海关和边境保护局(CBP)所雇佣的分包商Perceptics出现重大数据泄露事件,在对已经泄露的数据分析后发现至少有5万名美国车牌号码数据在暗网上被销售。更为重要的是,CBPCNN透露从未向该公司授权保留这些车主信息。在特定情况下,CBP承包商有权访问美国人的车牌图像以调整他们的系统,例如当州颁布新的车牌设计并且系统需要校准它时。但这些时期很短暂。

参考来源:

https://www.cnbeta.com/articles/tech/858347.htm

 

平安保险利用AI鉴定客户

中国最大的保险公司平安保险开始使用人工智能识别不值得信任和无利可图的客户。通过面部识别软件去搜索脸上的“微表情”,判断他们是否可信是否可以投保,以及确定服务条款。软件还会测量人的BMI和福利去确定健康保险费。目前,AI或算法的可靠性仍旧令人质疑,但这种AI应用有可能会推广到更多国家。

参考来源:

https://www.freebuf.com/news/206098.html

 

工信部公开征求对《网络安全漏洞管理规定(征求意见稿)》的意见

为贯彻落实《中华人民共和国网络安全法》,加强网络安全漏洞管理,工业和信息化部会同有关部门起草了《网络安全漏洞管理规定(征求意见稿)》(见附件),拟以规范性文件形式印发,现面向社会公开征求意见。如有意见或建议,请于2019718日前反馈。联系电话:010-66022093

参考来源:

https://nosec.org/home/detail/2715.html

 

Firefox 修复正被利用的 0day 漏洞

Mozilla 释出了 Firefox 67.0.3 Firefox ESR 60.7.1,修复了正被利用的 0day 漏洞。Google Project Zero 安全团队的 Samuel Groß Coinbase 安全团队发现了编号为 CVE-2019-11707 的漏洞,问题位于 Array.pop 中,属于类型混淆漏洞,能通过操纵 JavaScript 对象发生,能造成可利用的崩溃。Mozilla 称攻击者正在利用这个漏洞。Firefox 0day 漏洞比较罕见,上一次修复 0day 漏洞是在 2016 12 月。

参考来源:

https://www.solidot.org/story?sid=61040

 

谷歌日历出现故障,持续数小时后才恢复

谷歌日历(Google Calendar)出现故障。部分用户称,谷歌日历页面出现提示错误信息。在服务中断数小时之后谷歌终于让谷歌日历恢复正常,谷歌通过G Suite账户在推特上持续发布该事件的动态,并表示将继续努力改进系统可靠性。

参考来源:

https://www.freebuf.com/

 

AV-TEST公布macOS Mojave下安全软件表现最新排名

反病毒研究公司AV-TEST进行了一项新的研究,以确定最佳的macOS Mojave下运行的安全软件,本次测试重点关注恶意软件检测,性能和误报。只有三个macOS安全应用程序获得了18分的最高分,即BitDefender Antivirus for Mac 7.2,趋势科技防病毒9.0VIPRE高级安全11.0。另一方面,来自其他顶级安全厂商的解决方案,包括诺顿,AvastAVG和卡巴斯基,最终得分为17.5分,它们均在三场测试中的一场中输掉了0.5分。

参考来源:

https://www.cnbeta.com/articles/tech/858571.htm

 

多家交易所遭邮件钓鱼攻击,价值超40万美元的BTC或失窃

据慢雾科技消息,近日,多家数字货币交易所向慢雾安全团队反映,其收到了敲诈勒索信息。敲诈者向交易所发送邮件或Telegram消息称,交易所存在漏洞,一旦被攻击,将导致平台无法被打开。若要获取漏洞报告,需向指定的地址支付BTC。然而,多家交易所表示其支付BTC后,对方只发送了初步的漏洞报告或没有回应。截至发稿,据不完全统计,敲诈者的Telegram ID@zed1331@bbz12@samzzcyber,邮箱有mikemich@protonmail.comBTC地址有3GQQt2zJnPAWvirym7pbwvNTeM5igGuKxy,该地址入账约43.45BTC(约40.41万美元)。

参考来源:

https://www.8btc.com/article/429110

联系站长租广告位!

中国首席信息安全官


关闭


关闭