《维他命》每日安全简讯20180910
发布时间 2018-09-101、美国政府问责办公室GAO发布关于Equifax数据泄露事件的回顾报告
美国政府问责办公室(GAO)发布关于2017年Equifax数据泄露事件的回顾报告,报告中详细说明了Equifax遭到黑客入侵的情况以及该公司在事件发生期间和之后的响应。2017年3月8日Apache修复了Struts Java框架中的漏洞(CVE-2017-5638),同一天US-CERT针对该漏洞发布了安全警报。Equifax IT管理员向内部邮件列表转发了此漏洞警报,但该邮件列表已过时,并没有包括所有的系统管理员,这间接导致了服务器的补丁修复工作不完整。
原文链接:
https://www.gao.gov/assets/700/694158.pdf
2、研究团队发现数十个iOS应用收集并与第三方共享用户的位置信息
GuardianApp研究团队发现数十个iOS应用收集用户的位置数据,并将这些数据与第三方共享。这些数据收集不是秘密进行的,所有的应用都会要求用户的许可,但问题在于,这些应用很少或根本没有提及会将位置数据与第三方共享,以用于与APP无关的目的。大多数情况下这些应用会收集GPS坐标、蓝牙LE信标数据以及Wi-Fi SSID(网络名称)和BSSID(网络MAC地址)数据。还有一些应用会收集GPS高度和速度信息、电池充电状态、蜂窝网络名称、加速度计信息和IDFA广告标识符等数据。
原文链接:
https://guardianapp.com/ios-app-location-report-sep2018.html
3、研究人员称可公开访问的.Git目录导致超过39万个网站易受攻击
Lynt Services的研究人员VladimírSmitka发现可公开访问的.git目录导致超过39万个网站易受攻击。许多Web开发人员使用开源工具Git来构建页面,但他们往往将.git文件夹遗留在网站的公共可访问部分,甚至包括一些重要的信息,例如网站结构的信息、数据库密码、API密钥、开发IDE设置等。
原文链接:
https://threatpost.com/open-git-directories-leave-390k-websites-vulnerable/137299/
4、研究人员发现Supermicro服务器的BMC更新机制存在漏洞
Eclypsium的研究人员发现Supermicro服务器的BMC更新机制存在安全漏洞,攻击者可能利用该漏洞安装持久性恶意软件或者完全擦除并重新安装操作系统。BMC在底层运行,其级别低于主机的操作系统和系统固件,因此往往成为攻击者的目标。研究人员发现Supermicro服务器的BMC更新机制没有实现代码的签名验证机制,也没有检查固件是否是从合法来源下载的。
原文链接:
https://securityaffairs.co/wordpress/75999/hacking/flaw-supermicro-servers.html
5、Google发布9月Android安全更新,共修复50多个漏洞
9月的Android安全更新包括两个部分,其中安全补丁级别2018-09-01修复了24个漏洞,安全补丁级别2018-09-05修复了35个漏洞。受影响的组件包括Android runtime、framework、Library、System和媒体框架等。严重性较高的漏洞包括三个System特权提升漏洞和两个媒体框架中的远程代码执行漏洞。Google还发布了2018年9月的Pixel/Nexus安全公告,修复了内核和高通组件中的15个安全漏洞。
原文链接:
https://source.android.com/security/bulletin/2018-09-01
6、Fraunhofer SIT研究人员演示如何欺骗证书颁发机构
根据The Register的一份报告,德国Fraunhofer安全信息技术研究所(SIT)的研究人员演示如何欺骗证书颁发机构。Haya Shulman博士表示,他们可以通过DNS缓存中毒攻击将CA重定向至攻击者的计算机。由于基于域验证(DV)的证书可以被欺骗,组织应该转移到通过其它更安全的方法验证的证书,例如扩展验证(EV)或组织验证(OV)。
原文链接:
https://www.infosecurity-magazine.com/news/german-researchers-spoof-protected/
京公网安备11010802024551号