《维他命》每日安全简讯20180626

发布时间 2018-06-26

【威胁情报】英国税务机关HMRC涉嫌违法收集约510万用户的语音记录


隐私保护组织Big Brother Watch发现英国的税务机关HMRC涉嫌违法收集约510万英国公民的语音记录。HMRC通过2017年1月推出的一项语音识别服务收集了这些记录,该服务允许用户在呼叫HMRC时通过语音进行身份验证。但Big Brother Watch发现用户无法选择不使用该服务,所有拨打HMRC热线的用户都被迫录制了语音记录,并且用户无法选择从HMRC的数据库中删除其语音记录。该组织认为HMRC此举明显违反了GDPR,英国信息专员办公室(ICO)已对此事展开正式的调查。

原文链接:https://www.bleepingcomputer.com/news/government/uk-tax-agency-recorded-the-voices-of-51-million-brits/


【恶意App】研究人员发现主要针对意大利的银行木马Ursnif的新变种


CSE Cybsec ZLab研究团队发现主要针对意大利企业的银行木马Ursnif的新变种。Ursnif能够窃取用户的凭据,包括用户的电子邮箱账户、云存储、加密货币交易平台以及电子商务网站等的凭据。从6月6日开始,研究人员发现该新变种的攻击活动,并将此次攻击活动与僵尸网络Necurs进行关联。研究人员在报告中披露了详细的相关IoC和Yara规则。

原文链接:https://securityaffairs.co/wordpress/73865/malware/ursnif-banking-hits-italy.html


【漏洞补丁】罗克韦尔自动化修复其产品中的可导致DoS的安全漏洞


罗克韦尔自动化修复一个可导致DoS的安全漏洞,该漏洞(CVE-2017-9312)影响了Allen-Bradley CompactLogix 5370和Compact GuardLogix 5370可编程自动化控制器,这些产品被广泛用于关键基础设施、供水系统、娱乐、汽车、食物和饮料等行业的控制流程中。远程攻击者可利用该漏洞触发设备的不可恢复故障模式(MNRF),从而导致DoS。罗克韦尔在固件版本31.011中修复了该漏洞,建议用户尽快更新。

原文链接:https://www.securityweek.com/rockwell-patches-flaw-affecting-safety-controllers-several-vendors


【漏洞补丁】Oracle修复最近披露的Spectre和Meltdown漏洞的新变体

上周五Oracle宣布其开始发布产品的App和微代码更新,以修复最近披露的Spectre和Meltdown漏洞的新变体。这些新变体包括Variant 4(CVE-2018-3639)以及Variant 3a(CVE-2018-3640)等。Oracle安全主管Eric Maurice称Oracle已经针对Oracle Linux和Oracle VM虚拟化产品发布了更新,更多更新和补丁将在随后陆续发布。

原文链接:https://www.securityweek.com/oracle-patches-new-spectre-meltdown-vulnerabilities


【漏洞补丁】Tapplock智能锁发布安全更新,修复多个安全漏洞


安全研究人员Andrew Tierne和Vangelis Stykas发现Tapplock智能锁中的多个安全漏洞,包括其APP使用HTTP进行通信而没有进行传输加密;没有使用身份验证协议;在登录Tapplock账户后可通过其他用户的账户ID访问其敏感数据,如用户通过蓝牙解锁时的地址和用户的电子邮件等。Tapplock发布了相关的安全更新,并建议用户尽快进行升级。

原文链接:https://threatpost.com/unbreakable-smart-lock-tapplock-issues-critical-security-patch/132918/


【政策法规】公安部拟将于本周发布《网络安全等级保护条例》


由公安部牵头,会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例》(以下简称“条例”)拟将于本周在网上发布。公安部网络安全保卫局总工郭启全在发言中表示,关键信息基础设施保护是网络安全等级保护制度2.0的重点。目前中央网信办和公安部双牵头制定的《关键信息基础设施保护条例》起草工作已经完成,正在走司法程序。

原文链接:http://m.sohu.com/news/a/237626584_161795