信息清静周报-2018年第16周

宣布时间 2018-04-25

一、本周清静态势综述
        2018年04月16日至20日共收录清静误差47个,,值得关注的是Belkin N750栈缓冲区溢出误差;;Discuz! DiscuzX CVE-2018-10298跨站剧本误差;;Spring Data Commons远程代码执行误差;;Oracle WebLogic Server反序列化远程代码执行误差;;Adobe Flash Player越界写恣意代码误差。。。。

       本周值得关注的网络清静事务是泰国运营商TrueMove H的用户数据泄露,,约4.6万用户受到影响;;最新的研究显示大宗Android应用违规收罗儿童的隐私信息;;研究职员称数百万个APP通过广告SDK泄露用户数据;;CCleaner APT视察后续:攻击者通过TeamViewer进入Piriform的网络;;研究职员发明数据公司LocalBlox的约4800万用户数据可果真会见。。。。

        凭证以上综述,,本周清静威胁为中。。。。


二、主要清静误差列表
1、Belkin N750栈缓冲区溢出误差

        Belkin N750保存基于栈的缓冲区溢出误差,,允许远程攻击者使用误差向proxy.cgi发送HTTP请求,,可使应用程序瓦解唬或执行恣意代码。。。。

        用户可参考如下厂商提供的清静补丁以修复该误差:https://www.tenable.com/security/research/tra-2018-08
2、Discuz! DiscuzX CVE-2018-10298跨站剧本误差

        Discuz! DiscuzX data/template/1_diy_portal_view.tpl.php未限制内容,,允许远程攻击者使用误差注入恶意剧本或HTML代码,,当恶意数据被审查时,,可获取敏感信息或挟制用户会话。。。。

        用户可参考如下厂商提供的清静补丁以修复该误差:https://laworigin.github.io/2018/04/22/Discuz-x-portal-Stored-XSS/
3、Spring Data Commons远程代码执行误差

        Spring Data Commons处置惩罚SPEL表达式保存清静误差,,允许远程攻击者使用误差提交特殊的请求,,以WEB权限执行恣意下令。。。。

        用户可参考如下厂商提供的清静补丁以修复该误差:https://pivotal.io/security/cve-2018-1273
4、Oracle WebLogic Server反序列化远程代码执行误差

        Oracle WebLogic Server保存反序列化误差,,允许远程攻击者使用误差提交特殊请求,,以应用程序上下文执行恣意代码。。。。

        用户可参考如下厂商提供的清静补丁以修复该误差:http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
5、Adobe Flash Player越界写恣意代码误差

        Adobe Flash Player保存越界写误差,,允许远程攻击者使用误差提交特殊文件,,诱使用户剖析,,可以应用程序上下文执行恣意代码。。。。

        用户可参考如下厂商提供的清静补丁以修复该误差:https://helpx.adobe.com/security/products/flash-player/apsb18-08.html


三、主要清静事务综述
1、泰国运营商TrueMove H的用户数据泄露,,约4.6万用户受到影响

凯旋国际游戏(中国)官方网站

        清静研究职员Niall Merrigan发明泰国最大的4G移动运营商TrueMove H的一个Amazon AWS S3可果真会见,,泄露的数据包括用户的驾驶执照和护照等身份证件的扫描,,数据总量为约4.6万条纪录,,共32GB。。。。该数据库直到4月12日还可继续会见,,随后该公司限制了其会见权限。。。。TrueMove H声明称数据泄露事务影响的是其子公司I True Mart。。。。

        原文链接:https://securityaffairs.co/wordpress/71406/data-breach/truemove-h-data-leak.html

2、最新的研究显示大宗Android应用违规收罗儿童的隐私信息

凯旋国际游戏(中国)官方网站

        来自美国多所大学的隐私专家剖析了Google Play市肆的“为家庭而设计”(DFF)妄想的5855个Android app,,发明凌驾57%的app可能违反了儿童在线隐私保唬护法案(COPPA)。。。。约5%的app未经允许网络用户的位置和联系人信息,,约19%的app与第三方共享敏感信息,,约40%的app违反了旨在保唬护儿童隐私的Google效劳条款。。。。主要缘故原由是大大都app使用的SDK通常自动网络用户信息。。。。

        原文链接:http://news.softpedia.com/news/thousands-of-android-apps-are-tracking-kids-without-parental-consent-520696.shtml

3、研究职员称数百万个APP通过广告SDK泄露用户数据

凯旋国际游戏(中国)官方网站

        卡巴斯基实验室清静研究员Roman Unuchek体现,,数百万个APP使用了第三方的SDK,,但并没有保唬护这些广告SDK传输给第三方广告商的用户数据。。。。这些数据包括用户的小我私家身份信息如姓名、年岁、收入甚至电话号码和电子邮件地点等,,这些数据通过HTTP以未加密的方法传输,,很容易被阻挡和修改,,导致恶意软件熏染和勒索等。。。。

        原文链接:https://threatpost.com/millions-of-apps-leak-private-user-data-via-leaky-ad-sdks/131251/

4、CCleaner APT视察后续:攻击者通过TeamViewer进入Piriform的网络

凯旋国际游戏(中国)官方网站

        Avast研究职员宣布CCleaner APT的后续视察效果。。。。攻击者首先在2017年3月11日通过一个开发职员事情站上的TeamViewer进入Piriform公司的网络,,其怎样获取有用的登录凭证还不得而知。。。。凭证日志文件,,攻击者在外地时间破晓5点举行渗透,,其使用的有用荷载是为此次攻击而定制的ShadowPad。。。。

        原文链接:https://blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer

5、研究职员发明数据公司LocalBlox的约4800万用户数据可果真会见

凯旋国际游戏(中国)官方网站

        UpGuard的研究职员发明数据公司LocalBlox的一个AWS S3可果真会见,,内里存储了该公司从Facebook、LinkedIn、Twitter和房地产公司Zillow等网站上网络的约4800万用户的果真资料。。。。这些数据包括用户的姓名、出生日期、现实地点、(LinkedIn)事情历史纪录、部分用户的IP和电子邮件地点以及部分用户的小我私家净资产等信息。。。。

        原文链接:https://www.bleepingcomputer.com/news/security/data-firm-left-profiles-of-48-million-users-on-a-publicly-accessible-aws-server/