互联网+

12 月了，你好呀~

各位 Buffer 早上好，今天是 2017 年 12 月 4 日星期一。今天份的 BUF 早餐有：专家发现脏牛漏洞修复不完全；航运巨头 Clarkson 出现数据泄露；Cobalt黑客在鱼叉式钓鱼中意外泄漏所有攻击目标；惠普暗中在用户电脑上安装“间谍”软件；欧盟将为开源跨平台多媒体播放器 VLC 开设漏洞奖励计划；AWS 推出多项新的网络安全服务；谷歌将阻止第三方应用在 Chrome 中运行代码；全球扫码支付90%个人用户在中国，用得爽但存安全隐患。

以下请看详细内容：

【国际时事】 专家发现脏牛漏洞修复不完全

离知名的 Linux 内核漏洞“脏牛”面世已经有一年多了，但它的影响还在残存。近日，安全专家发现，“脏牛漏洞”其实并没有完全修复。

“脏牛”原本影响的是 get_user_pages 函数，这个函数可用于获取用户进程中虚拟地址背后的物理页。利用“脏牛”漏洞，攻击者可获得提权，改写原本只有“读取”功能的页面。当时发布的补丁并没有修复这一点，而且 get_user_pages 现在还记住了“脏牛”的攻击过程。在下一次循环中，只有 FOLL_FORCE 和 FOLL_COW 这两个 flag 特殊标记过，且 PTE 被标记为 dirty 的时候，一个只读页面会进行写入操作。[来源：SecurityWeek ]

航运巨头 Clarkson 出现数据泄露

有几十年历史的世界航运巨头 Clarkson 近日证实遭入侵，黑客可能会公开部分被盗数据。Clarkson 公布的信息表明，黑客入侵了一个用户账号，进而入侵了其系统，而且还勒索公司要求支付赎金。

Clarkson 公司确认遭到网络攻击，有黑客未经授权访问了公司的计算机系统。我们最初的调查显示，黑客利用单个、独立的用户账户，未经授权访问了公司系统，现在该账号已经被禁用。

事后，除了关闭账户，Clarkson 还通知了受影响的客户和个人。原本他们预测黑客会在周二公布部分被盗数据，但目前还没有任何动静。

由于目前调查正在进行，尚未能获取更多细节。[来源：Securityaffairs ]

技术高超的黑客也会犯错？Cobalt黑客在鱼叉式钓鱼中意外泄漏所有攻击目标

近日，安全研究人员发现，臭名昭著的黑客组织 Cobalt 在上周的鱼叉式钓鱼攻击中意外泄露了其当前的所有攻击目标。Cobalt 原本是个专门针对银行和金融机构发起攻击的黑客组织，他们攻击手段高明，让受害者头疼不已。

该研究人员表示，Cobalt 组织在群发邮件时，把所有攻击目标的邮箱填写在了收件人栏，这些邮箱原本应当填写在密送栏中。由于这个失误，所有受到邮件的用户都能看到其他目标用户的地址。安全公司抓住这个机会收集到潜在受害用户的信息，并及时发出警告，保护了用户的安全。暴露的信息显示，这些潜在受害者遍布全国各地，都是某个金融机构的员工，大部分集中在俄罗斯和土耳其。钓鱼邮件中包含 RTF 文件，利用了最近大火的 CVE-2017-11882。

不过这也不是第一次有黑客犯这么愚蠢的错误，今年 3 月份，早就有其他黑客组织“身先士卒”。[来源：bleepingcomputer ]

惠普暗中在用户电脑上安装“间谍”软件

近日，有很多用户反映惠普没有通知用户或获取用户同意的情况下就向其笔记本中安装了“间谍软件””HP Touchpoint Analytics Client，这是惠普部署的一项 Windows Telemetry 服务。用户表示自己从未选择安装过这个软件，也不知道它就在后台悄然运行。目前尚不清楚这个软件时通过最新的 Microsoft Windows 更新下载而来，还是惠普的 support assistant 过程安装的。用户还表示，这个软件会拖慢笔记本运行速度，甚至每天都向惠普的服务器发送数据。

惠普表示公司在 2014 年就开始在惠普笔记本中安装这款软件，这是其 Support Assistant 服务的一部分，且他们搜集的数据是匿名的，主要与电脑硬件的性能有关。但目前，惠普并未就此作出其他应对措施。[来源：THN]

【行业动态】 欧盟将为开源跨平台多媒体播放器 VLC 开设漏洞奖励计划

本周，欧盟宣布将为开源跨平台多媒体播放器 VLC 开设漏洞奖励计划，计划具体在 HackerOne 平台上运行，由 EU-FOSSA（欧盟自由开源软件审计）项目赞助。EU-FOSSA 是欧盟在去年发布的项目，主要目的是提升欧盟机构所使用的软件应用的安全性。启动资金为 100 万英镑，用于调查研究以及为调查中前两名项目提供安全审计资金支持。

2016 年，共有超过 3800 人参与投票，其中 Apache HTTP Server 和 KeePass 排前两名，而 VLC 只排第三。2017 年，EU—FOSSA 决定支持 VLC，帮助其成立漏洞奖励计划。“欧盟决定成立第一个漏洞奖励计划，奖金在 100 欧元到 3000 欧元之间。这个项目将持需到一月份的第一个星期，也有可能一直持续直到资金池干涸。”据了解，EU-FOSSA 在 2017 年获得了 200 万欧元的投资，提供的漏洞奖励资金是 6 万美元。[来源：bleepingcomputer ]

AWS 推出多项新的网络安全服务

亚马逊本周在其 AWS re 创造大会上宣布推出多项新的网络安全服务，包括威胁检测、IoT 安全以及虚拟私有云的安全通信。

Amazon GuardDuty：智能威胁检测服务，可以通过对未授权和恶意行为的持续性检测来帮助用户保护其 AWS 账户。其情报来源包括 AWS 本身以及 CrowdStrike 和 Proofpoint 等第三方机构，无需使用新的硬件或软件，可以与 Alert Logic、Evident.io、Palo Alto Networks、RedLock、Rapid7、Sumo Logic、Splunk 和 Trend Micro 等产品整合。

AWS PrivateLink：管理服务，可以让开发者将第三方 SaaS 应用安全接入其虚拟私有云（VPC）。CA Technologies、Aqua Security、Dynatrace、Cisco 和 SigOpt 等都表示可以支持这项服务。

IoT Services 产品：包括 AWS IoT Device Management、AWS IoT Device Defender 和 Amazon FreeRTOS 三款产品，分别从管理、保护和监测的角度保护 IoT 设备的安全。适用范围包括 AWS IoT 1-Click、IoT Device Management、IoT Device Defender、IoT Analytics、Amazon FreeRTOS 和 Greengrass ML Inference 等）。

[来源：SecurityWeek ]

谷歌将阻止第三方应用在 Chrome 中运行代码

谷歌近日宣布，将阻止第三方应用向 Chrome 中注入代码，这个决策大大影响反病毒产品和其他安全产品，因为这些产品通常都会向用户本地浏览器进程中注入代码并拦截、扫描恶意程序、钓鱼页面和其他威胁。

在接下来的 14 个月中，这项禁令将份三个阶段进行，首先是在 2018 年 4 月份，Chrome 66 将通过浏览器崩溃提示受影响用户其他软件正向 Chrome 注入代码，并引导用户升级或移除该软件；然后是在 2018 年 6 月，Chrome 68 将开始阻止第三方软件向 Chrome 注入代码；最后在 2019 年 1 月，Chrome 72 将移除其适配的软件，永久阻止代码注入。谷歌还表示，唯一有权不被阻止的将是带有微软签名的代码、辅助软件和 IME（输入法编辑器）打字辅助软件。据统计，将有 2/3 的 Chrome 浏览器受影响。

[来源：bleepingcomputer ]

【国内新闻】 全球扫码支付90%个人用户在中国，用得爽但存安全隐患

目前，全球90%的二维码个人用户在中国。对于不少人来说，出门不带现金，手机扫码走天下已成为日常习惯。随着我国二维码产业进入快速发展期，小小二维码的“吸金”能力也越来越强，有预测，到2017年底，中国二维码支付有望突破9千亿元市场规模。与此同时，规范行业标准和提升网民二维码安全意识已成为当务之急。

随着二维码进入老百姓生活的细枝末节，快捷的网络接入功能给大众带来了便利，但同时也带来了潜在的信息安全威胁。中国二维码注册认证中心执行主任张超表示，广泛应用的QR二维码制码技术是开放的，而二维码信息人眼很难识别，其中储存的信息容易被不法分子所利用，常常会出现被篡改、泄露，植入木马病毒或不良信息等严重安全隐患。

近期，社会上还出现了“木马+二维码”敲诈骗局，手机用户在钓鱼网站上中了木马病毒后，手机会被自动锁屏，并弹出二维码称只有扫码支付多少钱，才能够重新解锁手机。据360首席反诈骗专家裴智勇介绍，这类“木马+二维码”骗局，即使受害人扫码转账，也无法解锁手机，只能依靠专业技术处理。专家表示，二维码安全隐患主要在于其背后的链接是否靠谱，消费者扫码应多留个心眼，看清楚二维码来源和功能再扫，拿不准的二维码坚决不扫。[来源：新浪科技]

*AngelaY 编译整理，转载请注明来自 FreeBuf.COM返回搜狐，查看更多

责任编辑：