《维他命》每日安全简讯20181010

发布时间 2018-10-10

1、Google新政策只允许Android默认应用访问通话记录和短信



为了防止第三方应用滥用用户的敏感数据,Google做出了几项重要的更改。Google在Google Play的开发者政策中新加入了一条规则,该规则现在仅允许Android的默认应用访问用户的通话记录和短信。Google还限制了对Gmail API的访问,现在只有直接增强电子邮件功能的应用(如邮件客户端、邮件备份服务等)才可以访问该API。Google还更新了其账户权限系统,现在第三方应用在申请访问Google账户数据时,系统会针对每一个权限单独进行申请。开发者将有90天的时间来更新其应用和服务。


   原文链接:
https://thehackernews.com/2018/10/android-app-privacy.html

2、金雅拓的报告表明2018上半年全球共发生945起数据泄露事件



根据金雅拓的最新研究,2018上半年全球共发生945起数据泄露事件,共有45亿条数据记录遭到泄露。与2017年同期相比,丢失、被窃以及泄露的数据增长了133%。尽管数据泄露事件的数量略有下降,但事件的严重程度有所增加。其中6起社交媒体数据泄露事件导致了超过56%的数据泄露。数据泄露的最常见原因是外部因素(占56%)。


原文链接:

https://www.helpnetsecurity.com/2018/10/09/data-breaches-2018/

3、微软发布10月安全更新,共修复49个安全漏洞



微软发布10月安全更新,共修复Windows、Edge、IE等多款产品中的49个漏洞,其中包括12个高危漏洞。较为严重的漏洞包括Windows中的提权漏洞(CVE-2018-8453)、MSXML解析器组件中的远程代码执行漏洞(CVE-2018-8494)、Jet数据库引擎中的远程代码执行漏洞(CVE-2018-8423)、Windows内核中的提权漏洞(CVE-2018-8497)以及Azure IoT Hub SDK中的远程代码执行漏洞(CVE-2018-8531)。


原文链接:

https://thehackernews.com/2018/10/microsoft-windows-update.html

4、Apple发布新一轮iOS和iCloud安全更新,修复多个漏洞



Apple发布针对iOS和iCloud的新一轮安全更新,修复多个安全漏洞。其中在iOS 12.0.1中修复了两个密码绕过漏洞(CVE-2018-4380和CVE-2018-4379)。安全研究人员Jose Rodriguez发现了这两个漏洞,并发布了相关漏洞利用视频。Apple还在iCloud for Windows 7.7.12中修复了19个漏洞,其中包括13个高危的任意代码执行漏洞。


原文链接:

https://www.bleepingcomputer.com/news/security/apple-releases-security-updates-for-ios-and-icloud-fixes-passcode-bypass/

5、Annapolis Library遭银行木马Emotet感染,近5000用户受影响



美国马里兰州安纳波利斯市的一个公共图书馆遭银行木马Emotet感染,约5000名用户可能受到影响。Emotet会窃取用户的登录凭据、个人身份信息(PII)以及信用卡信息等,虽然该图书馆表示没有客户信息泄露,但在9月17日至10月4日期间使用了该图书馆的公共计算机的客户应该警惕其信用卡和银行账户信息。


原文链接:

https://news.softpedia.com/news/annapolis-library-computers-infected-with-emotet-almost-5k-customers-affected-523119.shtml

6、研究人员发现入侵MikroTik路由器的新攻击技术



Tenable Research的研究人员发现入侵MikroTik路由器的新攻击技术,使得一个已知的漏洞变得比以前认为的更加危险。该漏洞(CVE-2018-14847)影响Winbox组件,研究人员发现该漏洞允许攻击者在受影响的设备上远程执行代码并获得root shell。换句话说,新的攻击技术使得未经授权的攻击者可以入侵RouterOS,部署恶意软件或绕过路由器的防火墙。该漏洞已于2018年4月被修复。


原文链接:

https://securityaffairs.co/wordpress/76940/hacking/mikrotik-routers-attack-poc.html

声明:本资讯由启明星辰维他命安全小组翻译和整理