首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第12周

發布時間 2019-03-25

本周安全態勢綜述


2019年3月18日至24日共收錄安全漏洞57個,值得關注的是Mozilla Firefox IonMonkey JIT編譯器類型混淆漏洞;Cisco IP Phone 7800/8800 Series sip遠程代碼執行漏洞; CUJO Smart Firewall DHCP主機名命令注入漏洞;Adobe Photoshop CC堆溢出任意代碼執行漏洞;Wifi-soft UniBox controller CVE-2019-3495遠程代碼執行漏洞。
本周值得關注的網絡安全事件是Facebook明文存儲數億用戶密碼,被員工查看900萬次;谷歌因廣告壟斷再被歐盟罰款17億美元;Nork Hydro公司遭到勒索軟件LockerGoga攻擊;89%的歐盟政府網站存在第三方廣告跟蹤腳本;Epic Games收集Steam用戶隱私信息,承諾將進行修復。

根據以上綜述,本周安全威脅為中。


重要安全漏洞列表


1. Mozilla Firefox IonMonkey JIT編譯器類型混淆漏洞
Mozilla Firefox IonMonkey JIT編譯器存在類型混淆漏洞,允許遠程攻擊者利用漏洞提交特殊的web請求,誘使用戶解析,可使應用程序崩潰或執行任意代碼,
https://www.mozilla.org/en-US/security/advisories/mfsa2019-07/

2. Cisco IP Phone 7800/8800 Series sip遠程代碼執行漏洞
Cisco IP Phone 7800/8800 WEB接口處理惡意sip消息存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意代碼。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce

3. CUJO Smart Firewall DHCP主機名命令注入漏洞
CUJO Smart Firewall dhcp守護進程存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可注入任意命令并執行。
https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0703

4. Adobe Photoshop CC堆溢出任意代碼執行漏洞
Adobe Photoshop CC處理文件存在堆溢出漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或執行任意代碼。
https://helpx.adobe.com/security/products/photoshop/apsb19-15.html

5. Wifi-soft UniBox controller CVE-2019-3495遠程代碼執行漏洞
Wifi-soft UniBox controller存在遠程代碼注入漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可執行任意代碼。
https://packetstormsecurity.com/files/151077/Wifi-soft-Unibox-2.x-Remote-Command-Code-Injection.html

 重要安全事件綜述


1、Facebook明文存儲數億用戶密碼,被員工查看900萬次


本周四Facebook承認數以億計的Facebook和Instagram用戶的密碼多年來一直以明文的形式存儲在內部數據系統中。Facebook在1月份的例行安全審查期間發現了這一問題,該公司表示這些數據并未遭到濫用。根據安全記者Brian Krebs的一份報告,約2000名工程師或開發人員對這些數據進行了大約900萬次內部查詢。Facebook尚未披露受影響的具體用戶人數,但Krebs的報告中稱這一數字為2億至6億之間。

原文鏈接:
https://www.bleepingcomputer.com/news/security/facebook-employees-could-access-unencrypted-passwords-for-millions-of-users/

2、谷歌因廣告壟斷再被歐盟罰款17億美元



3月20日歐盟委員會發布聲明對谷歌的廣告壟斷行為罰款14.9億歐元(約17億美元),這是兩年內歐盟對谷歌開出的第三張大額反壟斷罰單。歐盟委員會表示這一罰款的原因是谷歌濫用其市場主導地位,阻止網頁使用AdSense平臺以外的廣告服務,這一罰金相當于谷歌2018年營業額的1.29%。


原文鏈接:
https://www.bleepingcomputer.com/news/security/google-fined-17-billion-for-anti-competitive-practices-in-online-advertising/

3、Nork Hydro公司遭到勒索軟件LockerGoga攻擊



本周一(3月18日)晚間挪威鋁業巨頭Norsk Hydro遭到大規模網絡攻擊,幾家工廠被臨時關閉。在新聞發布會上,Norsk Hydro首席財務官Eivind Kallevik透露該公司遭到較新的勒索軟件LockerGoga的攻擊,其生產及運營均受到影響。該公司被迫在挪威、卡塔爾和巴西等國家切換至人工操作,以恢復其運營活動。Kallevik還表示該公司已經能夠處理所有客戶的訂單并交付,但未來的訂單可能會受到影響,因為公司網絡仍未恢復。

原文鏈接:
https://www.bleepingcomputer.com/news/security/lockergoga-ransomware-sends-norsk-hydro-into-manual-mode/

4、89%的歐盟政府網站存在第三方廣告跟蹤腳本



丹麥瀏覽器分析公司Cookiebot在25個歐盟成員國的政府官網上發現廣告跟蹤腳本,這大概占總共28個成員國的89%,只有德國、西班牙和荷蘭的政府網站沒有商業廣告跟蹤器。法國政府網站上的廣告跟蹤器最多,有52家不同的公司在跟蹤用戶的行為。這些廣告跟蹤器主要是在第三方插件的幫助下滲透進政府網站,例如視頻播放器插件、網站分析及圖表插件等。這顯然違反了歐盟的數據保護法規GDPR。

原文鏈接:
https://www.bleepingcomputer.com/news/security/89-percent-of-eu-government-sites-infiltrated-by-ad-tracking-scripts/

5、Epic Games收集Steam用戶隱私信息,承諾將進行修復



Epic Games針對多項侵犯用戶隱私的指控做出回應,并承諾對該問題進行修復。游戲玩家在Reddit上發帖稱,Epic Games Launcher在未經用戶許可的情況下掃描并收集用戶的Steam信息。Epic Games工程副總裁Daniel Vogel回應稱Epic Games Store客戶端創建了Steam文件localconfig.vdf的本地加密副本,當用戶選擇導入Steam聯系人時,將會把用戶的聯系人哈希ID發送回Epic。Epic Games CEO Tim Sweeney表示將對有爭議的用戶數據收集行為進行修復。

原文鏈接:
https://www.bleepingcomputer.com/news/security/epic-promises-to-fix-game-launcher-after-privacy-concerns/

聲明:本資訊由啟明星辰維他命安全小組翻譯和整理

上一篇 下一篇