新闻动态

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第66期

<<返回

2019年08月19日 10:44

一、业界动态

1、去年美国公司发现了更多漏洞,但修复率却下降了

WhiteHatSecurity公司表示,2018年美国组织机构进行动态应用程序安全测试(dynamicapplication security tests)的次数增长了20%,但只修复了50.7%的关键漏洞与37%的极高风险漏洞,分别低于2017年报告的57%和46%

https://www.easyaq.com/news/2147307196.shtml

2、腾讯QQ升级程序存在漏洞 被利用植入后门病毒

火绒安全团队根据用户反馈,发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可利用该漏洞下发任意恶意代码。截止到目前,最新版QQ(包括TIM、QQ、QQ轻聊版、QQ国际版等等)都存在该漏洞。

https://www.huorong.cn/info/1566134103356.html

3、特朗普政府仍希望延长NSA的电话监听项目

外媒报道称,特朗普政府希望国会对《美自由法案》的所有条款提供永久授权,但其中附带了一条颇具争议的 NSA 通讯监视计划。其声称该项目旨在收集和分析数以百万计的美国人的电话和短信记录,以挫败恐怖分子的不良企图。

https://www.freebuf.com/news/211727.html

4、北京将允许外资提供网络视听节目服务

据新京报消息,北京市公布服务业扩大开放综合试点重点领域开放改革三年行动计划。互联网信息领域三年行动计划推出16项开放改革措施。在增值电信业务中,争取更加开放的政策措施落地北京。推动工信部在示范园区放宽国内互联网虚拟专用网业务(VPN)外资准入条件,外资企业开展VPN业务,试点开放外资股比不超过50%,吸引海外电信运营商为在京外资企业提供专属互联网虚拟专用网落地服务。

https://www.freebuf.com/news/211566.html

二、工业安全

1、水利部印发《水利网络安全管理办法(试行)》

为贯彻落实习近平总书记网络强国战略思想,依据《中华人民共和国网络安全法》,水利部网信办组织制定了《水利网络安全管理办法(试行)》(以下简称《办法》),并于近日通过审议印发。水利部部长鄂竟平高度重视《办法》制定工作,多次作出批示指示,提出要抓住用务实手段查找问题这一“关键”和处罚这一“要害”,突出问题导向,围绕“办什么—谁来办—怎么办—办得不好怎么处罚”这条主线制定《办法》。

https://mp.weixin.qq.com/s/7vSIWT4eq5w8fq-ZTG32UQ

三、安全事件

1、微软又双叒叕发现了四个严重的Windows漏洞

近日,微软安全团队在Windows操作系统中发现了四个严重的远程代码执行漏洞(CVE-2019-1181,CVE-2019-1182,CVE-2019-1222和CVE-2019-1226)。这些漏洞都可被未经身份验证的攻击者利用,来远程控制受害者的计算机系统。

https://www.easyaq.com/news/2147307195.shtml

2、Raidforums 攻破 Cracked.to 黑客论坛网站 曝光其 32.1 万名成员数据

外媒报道称,近日 Raidforums 攻破了竞争对手 Cracked.to 的黑客论坛网站,并泄露了后者超过 32.1 万名成员的数据。之所以发起这场行动,或是因为一些受害者正在讨论如何破解《堡垒之夜》账户、销售软件漏洞、自己从事其他可能非法的活动。漏洞披露网站 Have I Been Pwned 报道称:Raidforums 在上周五转储暴露了 74 万 9161 个唯一的电子邮件地址。

http://hackernews.cc/archives/26941

3、白帽2天成功渗透F-15战机系统,美军网络安全漏洞百出

长期以来注重网络攻击能力的美军,在“以己矛攻己盾”时终于暴露出美军网络安全防御其实“千疮百孔”。美国《星条旗报》14日披露称,“白帽子”黑客轻易入侵美军F-15战机的关键系统。该报道担心,随着美军装备对网络系统的依赖性越来越大,如果网络安全性得不到改善,“未来即便是那些造不出先进战机的国家,只需要键盘入侵也能搞垮美军战机”。

https://www.freebuf.com/news/211664.html

四、漏洞事件

1、游戏玩家注意!Steam 游戏平台被曝出漏洞

据外媒报道,独立研究员Vasily Kravets在steam游戏平台上发现了一处漏洞。Kravets表示,所有Windows版本的Steam客户端都有这种漏洞,该漏洞允许黑客将受害者电脑上的第三方程序升至最高权限,进而操控受害者的客户端。

https://www.easyaq.com/news/2147307194.shtml

2、研究人员展示如何利用SQLite数据库漏洞攻击iMessage

据外媒报道,在拉斯维加斯举办的DEF CON安全会议上,来自CheckPoint的安全研究员Omer Gull向观众展示了如何利用SQLite的漏洞来攻击iOS设备。

https://www.easyaq.com/news/2147307192.shtml

3、卡巴斯基修复四年老漏洞 注入 HTML 源码的唯一标识符会泄露用户隐私

多年来,卡巴斯基反病毒软件一直在各项安全测试中名列前茅。然而近日曝出的数据泄露事件,竟使得第三方能够长期监视用户的网络活动。德国网站 Heise.de 编辑 Ronald Eikenberg 指出,在其办公室电脑上的一个奇怪发现,让他知晓卡巴斯基反病毒软件造成了惊人的数据泄露。

http://hackernews.cc/archives/26982

4、安全研究人员称中兴 4G 热点可能成为黑客的温床

据外媒CNET报道,安全研究人员发现了一系列影响中兴通讯4G热点的漏洞,该公司还没有为所有受影响的设备提供修复。研究人员表示,安全漏洞可能让潜在的黑客将流量从热点重定向到其他恶意网站。

http://hackernews.cc/archives/26904