首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第12周

颁布功夫 2019-03-25

本周安全态势综述

2019年3月18日至24日共收录安全缝隙57个，，，，，，，值得关注的是Mozilla Firefox IonMonkey JIT编译器类型混合缝隙；；；；；；；；Cisco IP Phone 7800/8800 Series sip远程代码执行缝隙; CUJO Smart Firewall DHCP主机名号令注入缝隙；；；；；；；；Adobe Photoshop CC堆溢出肆意代码执行缝隙；；；；；；；；Wifi-soft UniBox controller CVE-2019-3495远程代码执行缝隙。。。。。。。。
本周值得关注的网络安全事务是Facebook明文存储数亿用户密码，，，，，，，被员工查看900万次；；；；；；；；谷歌因告白垄断再被欧盟罚�？？？？？�17亿美元；；；；；；；；Nork Hydro公司遭到勒索软件LockerGoga攻击；；；；；；；；89％的欧盟当局网站存在第三方告白跟踪剧本；；；；；；；；Epic Games网络Steam用户隐衷信息，，，，，，，承诺将进行建复。。。。。。。。

凭据以上综述，，，，，，，本周安全威胁为中。。。。。。。。

沉要安全缝隙列表

1. Mozilla Firefox IonMonkey JIT编译器类型混合缝隙
Mozilla Firefox IonMonkey JIT编译器存在类型混合缝隙，，，，，，，允许远程攻击者利用缝隙提交特殊的web要求，，，，，，，诱使用户解析，，，，，，，可使利用法式崩�；；；；；；；；蛑葱兴烈獯�，，，，，，，
https://www.mozilla.org/en-US/security/advisories/mfsa2019-07/

2. Cisco IP Phone 7800/8800 Series sip远程代码执行缝隙
Cisco IP Phone 7800/8800 WEB接口处置恶意sip新闻存在安全缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，可执行肆意代码。。。。。。。。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce

3. CUJO Smart Firewall DHCP主机名号令注入缝隙
CUJO Smart Firewall dhcp守护过程存在输入验证缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，可注入肆意号令并执行。。。。。。。。
https://www.talosintelligence.com/vulnerability_reports/TALOS-2018-0703

4. Adobe Photoshop CC堆溢出肆意代码执行缝隙
Adobe Photoshop CC处置文件存在堆溢露马脚，，，，，，，允许远程攻击者能够利用缝隙提交特殊的文件要求，，，，，，，诱使用户解析，，，，，，，可使利用法式崩�；；；；；；；；蛑葱兴烈獯�。。。。。。。。
https://helpx.adobe.com/security/products/photoshop/apsb19-15.html

5. Wifi-soft UniBox controller CVE-2019-3495远程代码执行缝隙
Wifi-soft UniBox controller存在远程代码注入缝隙，，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，，可执行肆意代码。。。。。。。。
https://packetstormsecurity.com/files/151077/Wifi-soft-Unibox-2.x-Remote-Command-Code-Injection.html

沉要安全事务综述

1、Facebook明文存储数亿用户密码，，，，，，，被员工查看900万次

本周四Facebook认可数以亿计的Facebook和Instagram用户的密码多年来一向以明文的大局存储在内部数据系统中。。。。。。。。Facebook在1月份的例行安全审查期间发现了这一问题，，，，，，，该公司暗示这些数据并未遭到滥用。。。。。。。。凭据安全记者Brian Krebs的一份汇报，，，，，，，约2000名工程师或开发人员对这些数据进行了约莫900万次内部查问。。。。。。。。Facebook尚未披露受影响的具体用户人数，，，，，，，但Krebs的汇报中称这一数字为2亿至6亿之间。。。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/facebook-employees-could-access-unencrypted-passwords-for-millions-of-users/

2、谷歌因告白垄断再被欧盟罚�？？？？？�17亿美元

8827太阳集团(Macau)股份有限公司-Official website

3月20日欧盟委员会颁布申明对谷歌的告白垄断行为罚�？？？？？�14.9亿欧元（约17亿美元），，，，，，，这是两年内欧盟对谷歌开出的第三张大额反垄断罚单。。。。。。。。欧盟委员会暗示这一罚�？？？？？畹脑蚴枪雀枥挠闷涫谐≈鞯贾拔�，，，，，，，阻止网页使用AdSense平台以表的告白服务，，，，，，，这一罚金相当于谷歌2018年交易额的1.29%。。。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/google-fined-17-billion-for-anti-competitive-practices-in-online-advertising/

3、Nork Hydro公司遭到勒索软件LockerGoga攻击

8827太阳集团(Macau)股份有限公司-Official website

本周一（3月18日）晚间挪威铝业巨头Norsk Hydro遭到大规模网络攻击，，，，，，，几家工厂被一时关关。。。。。。。。在新闻颁布会上，，，，，，，Norsk Hydro首席财政官Eivind Kallevik泄漏该公司遭到较新的勒索软件LockerGoga的攻击，，，，，，，其出产及运营均受到影响。。。。。。。。该公司被迫在挪威、卡塔尔和巴西等国度切换至人为操作，，，，，，，以复原其运营活动。。。。。。。。Kallevik还暗示该公司已经可能处置所有客户的订单并交付，，，，，，，但将来的订单可能会受到影响，，，，，，，由于公司网络仍未复原。。。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/lockergoga-ransomware-sends-norsk-hydro-into-manual-mode/

4、89％的欧盟当局网站存在第三方告白跟踪剧本

8827太阳集团(Macau)股份有限公司-Official website

丹麦浏览器分析公司Cookiebot在25个欧盟成员国确当局官网上发现告白跟踪剧本，，，，，，，这或许占总共28个成员国的89%，，，，，，，只有德国、西班牙和荷兰确当局网站没有贸易告白跟踪器。。。。。。。。法国当局网站上的告白跟踪器最多，，，，，，，有52家分歧的公司在跟踪用户的行为。。。。。。。。这些告白跟踪器重要是在第三方插件的援手下渗入进当局网站，，，，，，，例如视频播放器插件、网站分析及图表插件等。。。。。。。。这显然违反了欧盟的数据�；；；；；；；；ぢ衫鼼DPR。。。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/89-percent-of-eu-government-sites-infiltrated-by-ad-tracking-scripts/

5、Epic Games网络Steam用户隐衷信息，，，，，，，承诺将进行建复

8827太阳集团(Macau)股份有限公司-Official website

Epic Games针对多项加害用户隐衷的指控做出回应，，，，，，，并承诺对该问题进行建复。。。。。。。。游戏玩家在Reddit上发帖称，，，，，，，Epic Games Launcher在未经用户许可的情况下扫描并网络用户的Steam信息。。。。。。。。Epic Games工程副总裁Daniel Vogel回应称Epic Games Store客户端创建了Steam文件localconfig.vdf的本地加密副本，，，，，，，当用户选择导入Steam联系人时，，，，，，，将会把用户的联系人哈希ID发送回Epic。。。。。。。。Epic Games CEO Tim Sweeney暗示将对有争议的用户数据网络行为进行建复。。。。。。。。

原文链接：
https://www.bleepingcomputer.com/news/security/epic-promises-to-fix-game-launcher-after-privacy-concerns/

申明：本资讯由8827太阳集团维他命安全幼组翻译和整顿

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研

信息安全周报-2019年第12周

关于8827太阳集团

解决规划

联系8827太阳集团

7*24幼时服务热线