目 錄

·英特爾公布Spectre漏洞新變體Lazy State

·彈幕視頻網AcFun受黑客攻擊 近千萬條用戶數據外泄

·Google 計劃移除使用遠程網站安裝chrome插件的功能

·Trik 垃圾郵件僵尸網絡泄露 4300 萬郵箱地址

·微軟 6 月修復 50 個漏洞,其中 11 個為高危

·蘋果macOS系統曝出存在長達11年的安全漏洞

·加拿大推出新版國家網絡安全戰略

英特爾公布Spectre漏洞新變體Lazy State

英特爾公開披露了Spectre漏洞的新變體Lazy State,將會影響其旗下的多款處理器產品。該漏洞被稱為Lazy State,并被識別為CVE-2018-3665。該漏洞可能會使攻擊者獲取有關應用活動的信息,包括加密內容。據悉,該漏洞不會影響AMD處理器。

(來源:Freebuf)

彈幕視頻網AcFun受黑客攻擊

近千萬條用戶數據外泄

6月13日,彈幕視頻網AcFun發布公告稱,受黑客攻擊,近千萬條用戶數據外泄,其中包含用戶ID、用戶昵稱、加密存儲的密碼等信息。14日,黑客在地下論壇發帖稱出于A站客服態度誠懇,以及對于二次元世界的熱愛,決定無條件刪除數據庫。并還表示,從來沒有把數據庫出售給任何一個人,對于此前公布的300名用戶的信息,他們也表示抱歉。

(來源:新浪科技)

Google 計劃移除使用遠程網站安裝chrome插件的功能

Google 今天宣布將逐步取消在遠程網站上安裝Chrome擴展程序(即“內聯安裝”)的選項。這意味著到年底,用戶只能從各自的Chrome網上應用店列表中安裝新的Chrome擴展程序。 過去幾年,內聯安裝功能被攻擊者濫用,誘導用戶安裝惡意擴展程序,造成不良影響。由于用戶從第三方安裝,沒有訪問過 Chrome 網上應用商店列表,就看不到有關這些擴展程序的負面評論,所以無法判斷這些插件是好是壞。 新計劃分三階段: 從今日起,所有新插件都無法通過“內聯安裝”獲取,且 6 月 12 日以后首次發布的插件如果要調用“chrome.webstore.install() ”函數,會自動重定向到 Chrome Web Store 來安裝; 2018 年 9 月 12 日開始,Chrome 擴展程序會完全無法使用“內聯安裝”功能,用戶會直接被重定向到 Chrome Web Store 完成安裝; 2018 年 12 月上旬,Chrome 71 會徹底移除“內聯安裝”API。

(來源:bleepingcomputer)

Trik 垃圾郵件僵尸網絡泄露 4300 萬郵箱地址

Vertek 公司的一位威脅情報分析師在研究最近發布的 Trik 木馬版本時,發現 Trik 垃圾郵件僵尸網絡的服務器存在泄露情況。由于幕后攻擊中而配置錯了服務器,導致任何人都可以直接訪問 IP,進而獲取存儲信息。 這臺服務器上一共有 2201 個文本文件,按照 1.txt 到 2201.txt 順序標記,每個文件包含大約 20,000 份電子郵件地址信息,總量超過 4300 萬。研究人員認為,該服務器的運營商一直在使用這些收件人列表來為其他攻擊者提供服務,以便通過惡意垃圾郵件分發各種惡意軟件。

(來源:bleepingcomputer)

微軟 6 月修復 50 個漏洞,其中 11 個為高危

微軟 6 月的修復日總共修復了 50 個漏洞,涵蓋 Windows、IE 瀏覽器、Edge 瀏覽器、MS Office、微軟Exchange Server、ChakraCore 以及 Adobe Flash Player 等產品。這些漏洞中有 11 個為高危,且只有一個漏洞(遠程代碼執行漏洞 CVE-2018-8267)被公開過,其他漏洞均未被利用。 最嚴重的漏洞包括 CVE-2018-8267、CVE-2018-8225、CVE-2018-8231、CVE-2018-8213 等,都是遠程代碼執行漏洞,主要影響 Windows 系統。用戶可直接打開設置,選擇“更新和安全”選項,選擇 Windows 更新、檢查并安裝更新。

(來源:TheHackerNews)

蘋果macOS系統曝出存在長達11年的安全漏洞

來自身份管理軟件公司Okta的研究與開發工程師 Josh Pitts在上周二(6月12日)公開披露了一個在蘋果macOS系統中存在了長達11 年之久的安全漏洞,該漏洞可能使得惡意軟件能夠更容易地繞過安全檢查,并導致數百萬蘋果用戶更加容易遭受黑客攻擊。

Pitts表示,他在第三方安全產品對代碼簽名API的解釋中找到了一個旁路,使未簽名的惡意代碼看起來像是由蘋果官方簽署的。這意味著,某些安全產品可能會因遭受“欺騙”而誤以為惡意軟件是由蘋果簽署的,進而允許惡意軟件繞過其檢測,從而感染用戶設備。

可能遭受“欺騙”的幾款第三方安全產品包括:Little Snitch、F-Secure xFence、VirusTotal、Google Santa和Facebook OSQuery。這個漏洞最早可以追溯到2007年推出的OS X Leopard 系統,并且至今一直存在。對蘋果用戶來說,相對而言較好的消息是,漏洞僅會影響到macOS和OSX的舊版本。

(來源:黑客視界)

加拿大推出新版國家網絡安全戰略

2018年6月12日,加拿大發布了該國的新版國家網絡安全戰略。新版國家網絡安全戰略提出,將新建一個清晰可信的國家權威機構——網絡安全中心,整合現有網絡業務,為政府部門、關鍵基礎設施運營商以及公共和私營部門提供專家咨詢和服務,以加強該國的網絡安全。這份戰略提出,將在加拿大皇家騎警隊(RCMP)設立一個新的國家網絡犯罪協調部門,以支持和協調加拿大各地警察部隊之間的網絡犯罪調查。加拿大還將開展一個新的自愿網絡認證計劃,該計劃將羅列出幫助企業了解和應對網絡威脅的最佳實踐,通過這種方式來增強企業的網絡安全彈性。

(來源:E安全)