《维他命》每日安全简讯20190122
发布时间 2019-01-22
根据欧盟于2018年5月生效的GDPR条例,法国数据保护监管机构CNIL对谷歌发出了5000万欧元(约合5700万美金)的罚单。CNIL称这笔罚款的原因是谷歌企业“缺乏透明度、信息不对称以及在个性化广告方面没有获得用户的有效同意”。这是CNIL依据GDPR开出的首张罚单。谷歌回应称“大家非常致力于满足人们对数据透明度的希望和GDPR的要求,大家正在研究决定大家接下来的步骤。”。
原文链接:
https://thehackernews.com/2019/01/google-privacy-gdpr-fine.html2、美国民主党称中期选举之后遭到俄罗斯黑客钓鱼攻击
原文链接:
https://www.bleepingcomputer.com/news/security/phishing-attack-allegedly-targeted-us-dnc-after-2018-midterms/3、MySQL设计缺陷允许恶意服务器从客户端窃取文件

根据安全研究人员Willem de Groot在Reddit上的讨论帖,2018年10月Magecart向购物网站注入恶意代码是利用了Adminer(一个管理PostgreSQL和MySQL数据库的工具)中的漏洞,根本原因是MySQL协议设计中的缺陷。恶意的MySQL服务器可以利用LOAD DATA LOCAL命令来读取MYSQL客户端的任意文件。这个缺陷是个由来已久的问题,GitHub上就有恶意MySQL服务器的代码。Adminer版本4.3.1到4.6.2受到该漏洞的影响,建议用户更新至Adminer4.6.3之后的版本。
原文链接:
https://www.bleepingcomputer.com/news/security/mysql-design-flaw-allows-malicious-servers-to-steal-files-from-clients/4、日本Omron企业修复HMI产品中的DoS和RCE漏洞

日本欧姆龙(Omron)企业发布CX-Supervisor产品的安全更新,修复可导致DoS和RCE的多个安全漏洞。CX-Supervisor是SCADA系统的HMI控制器,根据ICS-CERT的报告,该工具被广泛用于全球的能源领域。Source Incite的研究员Esteban Ruiz发现了这些漏洞,漏洞范围包括use-after-free、用户输入缺乏验证以及可导致任意代码/命令实行的类型混淆问题。欧姆龙在CX-Supervisor 3.5.0.11中修复了这些漏洞。
原文链接:
https://www.securityweek.com/flaws-omron-hmi-product-exploitable-malicious-project-files5、iOS 12.1.2漏洞可获取root权限,影响苹果 XS等新一代手机

两位安全研究人员发现了iOS 12.1.2中的安全漏洞,所有新一代的苹果都受到影响,包括苹果 XS、苹果 XS Max和苹果 XR。研究人员通过Port-Oriented Programming(POP)攻击获得了苹果上的root权限,并绕过了PAC系统。研究人员在Twitter上发布了他们的研究成果。虽然绕过PAC使得iOS 12.1.2越狱变得更加容易,但由于没有公开可用的exploit,这也许并不会很快发生。
原文链接:
https://news.softpedia.com/news/security-exploit-in-ios-12-1-2-on-iphone-xs-discovered-524621.shtml6、思科SMB交换机存在尚未修复的安全漏洞,可导致设备被接管
原文链接:
https://securityaffairs.co/wordpress/80114/security/cve-2018-15439-cisco-soho.html声明:本资讯由澳门浦京娱乐场维他命安全小组翻译和整理