信息安全周报-2019年第12周

发布时间 2019-03-25

本周安全态势综述


2019年3月18日至24日共收录安全漏洞57个,值得关注的是Mozilla Firefox IonMonkey JIT编译器类型混淆漏洞;Cisco IP Phone 7800/8800 Series sip远程代码实行漏洞; CUJO Smart Firewall DHCP主机名命令注入漏洞;Adobe Photoshop CC堆溢出任意代码实行漏洞;Wifi-soft UniBox controller CVE-2019-3495远程代码实行漏洞。
本周值得关注的网络安全事件是脸书明文存储数亿用户密码,被员工查看900万次;GOOGLE因广告垄断再被欧盟罚款17亿美金;Nork Hydro企业遭到勒索AppLockerGoga攻击;89%的欧盟政府网站存在第三方广告跟踪脚本;Epic Games收集Steam用户隐私信息,承诺将进行修复。

根据以上综述,本周安全威胁为中。


重要安全漏洞列表


1. Mozilla Firefox IonMonkey JIT编译器类型混淆漏洞
Mozilla Firefox IonMonkey JIT编译器存在类型混淆漏洞,允许远程攻击者利用漏洞提交特殊的web请求,诱使用户解析,可使应用程序崩溃或实行任意代码,
https://www.mozilla.org/en-US/security/advisories/mfsa2019-07/

2. Cisco IP Phone 7800/8800 Series sip远程代码实行漏洞
Cisco IP Phone 7800/8800 WEB接口处理恶意sip消息存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可实行任意代码。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce

3. CUJO Smart Firewall DHCP主机名命令注入漏洞
CUJO Smart Firewall dhcp守护进程存在输入验证漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可注入任意命令并实行。
https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0703

4. Adobe Photoshop CC堆溢出任意代码实行漏洞
Adobe Photoshop CC处理文件存在堆溢出漏洞,允许远程攻击者可以利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或实行任意代码。
https://helpx.adobe.com/security/products/photoshop/apsb19-15.html

5. Wifi-soft UniBox controller CVE-2019-3495远程代码实行漏洞
Wifi-soft UniBox controller存在远程代码注入漏洞,允许远程攻击者利用漏洞提交特殊的请求,可实行任意代码。
https://packetstormsecurity.com/files/151077/Wifi-soft-Unibox-2.x-Remote-Command-Code-Injection.html

 重要安全事件综述


1、脸书明文存储数亿用户密码,被员工查看900万次


本周四脸书承认数以亿计的脸书和Instagram用户的密码多年来一直以明文的形式存储在内部数据系统中。脸书在1月份的例行安全审查期间发现了这一问题,该企业表示这些数据并未遭到滥用。根据安全记者Brian Krebs的一份报告,约2000名工程师或开发人员对这些数据进行了大约900万次内部查询。脸书尚未披露受影响的具体用户人数,但Krebs的报告中称这一数字为2亿至6亿之间。

原文链接:
https://www.bleepingcomputer.com/news/security/脸书-employees-could-access-unencrypted-passwords-for-millions-of-users/

2、GOOGLE因广告垄断再被欧盟罚款17亿美金



3月20日欧盟委员会发布声明对GOOGLE的广告垄断行为罚款14.9亿欧元(约17亿美金),这是两年内欧盟对GOOGLE开出的第三张大额反垄断罚单。欧盟委员会表示这一罚款的原因是GOOGLE滥用其市场主导地位,阻止网页使用AdSense平台以外的广告服务,这一罚金相当于GOOGLE2018年营业额的1.29%。


原文链接:
https://www.bleepingcomputer.com/news/security/google-fined-17-billion-for-anti-competitive-practices-in-online-advertising/

3、Nork Hydro企业遭到勒索AppLockerGoga攻击



本周一(3月18日)晚间挪威铝业巨头Norsk Hydro遭到大规模网络攻击,几家工厂被临时关闭。在资讯发布会上,Norsk Hydro首席财务官Eivind Kallevik透露该企业遭到较新的勒索AppLockerGoga的攻击,其生产及运营均受到影响。该企业被迫在挪威、卡塔尔和巴西等国家切换至人工操作,以恢复其运营活动。Kallevik还表示该企业已经能够处理所有客户的订单并交付,但未来的订单可能会受到影响,因为企业网络仍未恢复。

原文链接:
https://www.bleepingcomputer.com/news/security/lockergoga-ransomware-sends-norsk-hydro-into-manual-mode/

4、89%的欧盟政府网站存在第三方广告跟踪脚本



丹麦浏览器分析企业Cookiebot在25个欧盟成员国的政府官网上发现广告跟踪脚本,这大概占总共28个成员国的89%,只有德国、西班牙和荷兰的政府网站没有商业广告跟踪器。法国政府网站上的广告跟踪器最多,有52家不同的企业在跟踪用户的行为。这些广告跟踪器主要是在第三方插件的帮助下渗透进政府网站,例如视频播放器插件、网站分析及图表插件等。这显然违反了欧盟的数据保护法规GDPR。

原文链接:
https://www.bleepingcomputer.com/news/security/89-percent-of-eu-government-sites-infiltrated-by-ad-tracking-scripts/

5、Epic Games收集Steam用户隐私信息,承诺将进行修复



Epic Games针对多项侵犯用户隐私的指控做出回应,并承诺对该问题进行修复。游戏玩家在Reddit上发帖称,Epic Games Launcher在未经用户许可的情况下扫描并收集用户的Steam信息。Epic Games工程副总裁Daniel Vogel回应称Epic Games Store客户端创建了Steam文件localconfig.vdf的本地加密副本,当用户选择导入Steam联系人时,将会把用户的联系人哈希ID发送回Epic。Epic Games CEO Tim Sweeney表示将对有争议的用户数据收集行为进行修复。

原文链接:
https://www.bleepingcomputer.com/news/security/epic-promises-to-fix-game-launcher-after-privacy-concerns/

声明:本资讯由澳门浦京娱乐场维他命安全小组翻译和整理