《维他命》每日安全简讯20190109

发布时间 2019-01-09

1、微软发布2019年1月安全更新,修复51个漏洞


2019年的第一个Windows安全更新共修复了51个漏洞,重要的漏洞包括:DHCP客户端任意代码执行漏洞(CVE-2019-0547)、Hyper-V虚拟机逃逸漏洞(CVE-2019-0550和CVE-2019-0551)、Skype for Android中的锁屏密码绕过漏洞(CVE-2019-0622)以及数据库引擎Jet中的RCE漏洞(CVE-2019-0579)等。完整漏洞列表请参考以下链接。


原文链接:

https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2019-patch-tuesday-includes-51-security-updates/


2、微软宣布GitHub免费用户现可无限创建私有存储库


微软宣布GitHub免费用户现在可以创建无限量的私人存储库,在此之前,如果你想创建私人存储库,那么每月最少需要支付7美元的费用。现在GitHub免费用户创建的私人存储库最多可以拥有3名协作者,如果你想添加更多的协作者,那么每月需要支付7美元升级到高级账户。如果你之前已经支付7美元,那么你可以根据自身需求降级为免费用户,同时私有存储库的内容均已保留。


原文链接:

https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-unlimited-private-repos-for-github-free/


3、美国厨房用具制造商oxo.com遭到MageCart攻击


美国厨房用具制造商OXO International遭到黑客攻击,客户的付款信息被窃。根据OXO的数据泄露通知,在2017年6月9日-2017年11月28日、2018年6月8日-2018年6月9日和2018年7月20日-2018年10月16日期间,客户在其网站www.oxo.com上输入的订单支付信息受到损害,包括信用卡信息、账单地址、电子邮件地址和电话号码。BleepingComputer的进一步研究表明至少有一次攻击是MageCart攻击。


原文链接:

https://www.bleepingcomputer.com/news/security/oxo-discloses-magecart-attack-that-targeted-customer-data-on-oxocom/


4、黑客窃取Titan Distributors公司近一年的客户支付数据


Titan Distributors公司遭到黑客入侵,部分客户的支付数据被窃。该公司表示,2017年11月23日至2018年10月25日期间其在线商店被植入恶意代码,这些代码用于窃取用户的支付信息,包括姓名、账单地址、电话号码、信用卡号码、到期日期和验证码。根据Titan法律顾问Butler&Snow向华盛顿州检察长发出的一封信,受影响的用户数量为1838人。


原文链接:

https://securityaffairs.co/wordpress/79595/hacking/titan-manufacturing-security-breach.html


5、印度超过1.1万辆公共汽车的实时GPS坐标在曝光


安全研究员Justin Paine发现一个未设密码的ElasticSearch服务器,该服务器包含来自27家印度国有运输机构的数据,其中包括超过1.1万辆公共汽车的实时GPS坐标和路线信息。不同运输机构的数据并不相同,在某些案例中,还包括乘客的用户名和电子邮件地址。该服务器至少已在互联网上曝光了三周的时间。在Paine通知印度CERT后,该服务器得到保护,但CERT拒绝透露该服务器的所有者。


原文链接:

https://www.zdnet.com/article/real-time-location-data-for-over-11000-indian-buses-left-exposed-online/


6、十多款iOS游戏被发现向Golduck的C&C服务器发送信息


安全研究团队Wandera发现App Store上的14款游戏向恶意软件Golduck Loader的已知C&C服务器发送数据。Golduck是一个广告软件分发平台,研究人员发现这十多款iOS游戏表现出与感染了Golduck的Android应用相似的行为,即在应用程序主屏幕的多个区域注入广告。此外,这些游戏还向Golduck的C&C服务器发送大量信息片段,包括IP地址、位置数据、设备类型和设备上显示的广告数量等。App Store已经下架了这些有害的应用。


原文链接:

https://www.bleepingcomputer.com/news/security/apple-ios-games-found-talking-to-golduck-malware-candc-servers/


声明:本资讯由启明星辰维他命安全小组翻译和整理