大洼县打印机价格交流组

一周信息安全简报

圣博润2018-11-15 15:41:50

Hello,北鼻们好,

欢迎来到“一周核心安全简报”;

昨日,2018春运拉开大幕,

希望身边的朋友们远离网络诈骗,

统统买到回家的票票♥

嘿嘿!

来看本期的主要内容吧~O(∩_∩)O~

热点事件

1,"百度外卖"系统遭入侵

关键词:黑客入侵

“百度外卖”平台系统被非法侵入,4900余万元被篡改,下单单数覆盖全国多个地区,人数达百余人,直接消费损失30余万元。1月29日北京市海淀检察院向新闻媒体通报,该院近日办理了一批犯罪案件,嫌疑人都是利用系统漏洞,为自己刷出天价账户余额,进而消费使用。他们中有的人直接通过上述操作给自己的百度外卖账号充值,有的人由他人帮助自己账户进行充值,进而使用账户余额进行消费。海淀检方呼吁广大互联网企业要注意防范网络安全漏洞。(来源:北京青年报)

2,橘皮能解锁指纹?

关键词:指纹锁

日前,网上流传一段“用橘子皮就能解锁手机指纹识别锁”的视频,视频中主流手机全部中招,用他人手指、橘子皮甚至纸巾就可以随意解锁手机指纹识别,还可以进行相应的指纹支付。除了手机之外,笔记本电脑、防盗门电子锁等都采用了类似的指纹验证方式,而在技术人员的测试下,依靠透明胶带和导电笔,也都可以被随意解锁。目前工信部、质检总局等相关部门已介入调查。不过,专家对此表示,这只是在特定条件下出现的状况,一般情况下,不会出现这种状况。并且,为了避免被不良企图者利用,最好不要给自己的手机贴类似的指纹贴,而且应经常检查自己的指纹识别位置有无异物、裂缝。(来源:北京青年报)

3,婴儿数据流传暗网

关键词:个人信息

外媒消息,网络犯罪人士于近期在暗网上出售一种新型商品—婴儿 fullz 数据(“ fullz ”:指个人身份信息的完整包装,其中包含个人姓名,社会安全号码,出生日期,账号等)。根据美国有线电视新闻网(CNN)的一份报告显示,网络犯罪人士利用婴儿干净的信用记录来达到申请信用卡、抵押贷款,以及获取政府福利补助的目的。(来源:hackernews)

4,过半俄罗斯人支持建立金砖国家专属“局域网”

关键词:金砖国家

据全俄社会舆论研究中心(VCIOM)进行的一项民意调查显示,大多数俄罗斯人(58%)赞同在全球网络中建立一个仅限于金砖国家(巴西、俄罗斯、印度、中国、南非)内运作的独立“互联网”。该想法支持者指出,为金砖国家创建独立的互联网,可以减少黑客攻击的威胁,保障俄罗斯公民个人资料的安全,关闭西方宣传的通道,减少“宣传”量。(来源:E安全)


政策、报告

1,菲律宾起草加密货币交易相关法规

关键词:加密货币

菲律宾证券交易委员会周一表示,该部门正在起草规范加密货币交易的法规,以保护投资者,降低诈骗风险。菲律宾证监会负责执法和投资者保护事务的官员埃米利奥·阿基诺(Emilio Aquino)表示,相关规定将包括加密货币发行与注册等部分,预计将于今年确定。(来源:cnbeta)

2,第41次《中国互联网络发展状况统计报告》发布

关键词:CNNIC

1月31日,中国互联网络信息中心(CNNIC)在京发布第41次《中国互联网络发展状况统计报告》。截至2017年12月,我国网民规模达7.72亿,普及率达到55.8%,超过全球平均水平(51.7%)4.1个百分点,超过亚洲平均水平(46.7%)9.1个百分点。我国网民规模继续保持平稳增长,互联网模式不断创新、线上线下服务融合加速以及公共服务线上化步伐加快,成为网民规模增长推动力。(来源:CNNIC)

3,2018人工智能标准化白皮书发布

关键词:人工智能

近日,2018人工智能标准化论坛在北京召开。论坛重磅发布了《人工智能标准化白皮书(2018版)》。该白皮书前期在国家标准委工业二部和工信部科技司的指导下,通过梳理人工智能技术、应用和产业演进情况,分析人工智能的技术热点、行业动态和未来趋势,从支撑人工智能产业整体发展的角度出发,研究制定了能够适应和引导人工智能产业发展的标准体系,进而提出近期急需研制的基础和关键标准项目,呼吁社会各界共同加强人工智能领域的技术研究、产业投入、标准建设与服务应用,共同推动人工智能及其产业发展。(来源:中国工业报)


本周漏洞预警

1,联想指纹扫描器现严重漏洞

影响产品

ThinkPad L560

ThinkPad P40 Yoga,P50s

ThinkPad T440,T440p,T440s,T450,T450s,T460,T540p,T550,T560

ThinkPad W540,W541,W550s

ThinkPad X1 Carbon(型号20A7,20A8),X1 Carbon(型号20BS,20BT)

ThinkPad X240,X240s,X250,X260

ThinkPad Yoga 14(20FY),Yoga 460

ThinkCentre M73,M73z,M78,M79,M83,M93,M93p,M93z

ThinkStation E32,P300,P500,P700,P900

漏洞描述

这个安全漏洞是一个明显缺陷——硬编码密码。该密码是存储在指纹扫描器中,可用于登陆到用户计算机。

危害级别:高


漏洞解决方案

联想已经发布了修正上述问题的版本8.01.87。该公司建议用户使用以下Lenovo计算机下载并安装Fingerprint Manager Pro应用程序版本8.01.87(或更高版本)。


2,Microsoft Office内存破坏漏洞

影响产品

Microsoft Office 2010

Microsoft Office 2007

Microsoft Office 2003

Microsoft Office 2013

Microsoft Office 2016

漏洞描述

Microsoft Office中的Equation Editor存在内存破坏漏洞,该漏洞源于程序未能正确的处理内存中的对象。远程攻击者可借助含有受影响Microsoft Office或Microsoft WordPad的特制文件利用该漏洞在当前用户的上下文中执行代码。

危害级别:高


漏洞解决方案

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0845


3,Apple macOS 'IOHIDFamily'组件本地权限提升漏洞

影响产品

Apple MacOS

漏洞描述

Apple macOS 'IOHIDFamily'组件存在本地权限提升漏洞,本地攻击者利用该漏洞执行任意代码,获取root访问权限。

危害级别:高


漏洞解决方案

厂商尚未提供漏洞修复方案,请关注厂商主页及时更新:https://www.apple.com/


4,ManageEngine企业级IT运维管理产品曝多个严重漏洞

影响产品

ServiceDesk Plus;

Service Plus MSP;

OpManager网络监控产品;

Network Configuration Manager;

IP地址管理应用程序OpUtils;

带宽监控和流量分析产品NetFlow Analyzer;

防火墙配置和日志管理产品Firewall Analyzer。

漏洞描述

未经身份验证的文件上传漏洞影响了ManageEnegine ServiceDesk Plus帮助台软件,未经身份验证的攻击者可利用该漏洞上传JavaScript Web Shell,借助SYSTEM权限执行任意命令。

危害级别:高


漏洞解决方案

用户可通过ManageEngine官网下载已打补丁的应用程序

本期内容到这里就结束了

感谢您的收看

圣博润SBR团队,持续呈现最优要闻!

敬请期待之后更多精彩内容~

我们下期,不见不散~O(∩_∩)O~

往期回顾

1.19丨一周安全信息简报

1.26丨一周安全信息简报

Copyright © 大洼县打印机价格交流组@2017