首页 > 安全钻研 > 安全传递 > 安全简讯

《维他命》逐日安全简讯20180910

颁布功夫 2018-09-10

美国当局问责办公室GAO颁布关于Equifax数据泄露事务的回首汇报

美国当局问责办公室（GAO）颁布关于2017年Equifax数据泄露事务的回首汇报，，，，，汇报中具体说了然Equifax遭到黑客入侵的情况以及该公司在事务产生期间和之后的响应。。。。。。。2017年3月8日Apache建复了Struts Java框架中的缝隙（CVE-2017-5638），，，，，统一天US-CERT针对该缝隙颁布了安全警报。。。。。。。Equifax IT治理员向内部邮件列表转发了此缝隙警报，，，，，但该邮件列表已过期，，，，，并没有蕴含所有的系统治理员，，，，，这间接导致了服务器的补丁建复工作不齐全。。。。。。。

原文链接：

https://www.gao.gov/assets/700/694158.pdf

钻研团队发现数十个iOS利用网络并与第三方共享受户的位相信息

GuardianApp钻研团队发现数十个iOS利用网络用户的地位数据，，，，，并将这些数据与第三方共享。。。。。。。这些数据网络不是奥秘进行的，，，，，所有的利用城市要求用户的许可，，，，，但问题在于，，，，，这些利用很少或底子没有提及会将地位数据与第三方共享，，，，，以用于与APP无关的主张。。。。。。。大无数情况下这些利用会网络GPS坐标、蓝牙LE信标数据以及Wi-Fi SSID（网络名称）和BSSID（网络MAC地址）数据。。。。。。。�；；；；；；褂幸恍├没嵬鏕PS高度和速度信息、电池充电状态、蜂窝网络名称、加快度计信息和IDFA告白标识符等数据。。。。。。。

原文链接：

https://guardianapp.com/ios-app-location-report-sep2018.html

钻研人员称可公开接见的.Git目录导致超过39万个网站易受攻击

Lynt Services的钻研人员VladimírSmitka发现可公开接见的.git目录导致超过39万个网站易受攻击。。。。。。。很多Web开发人员使用开源工具Git来构建页面，，，，，但他们往往将.git文件夹遗留在网站的公共可接见部门，，，，，甚至蕴含一些沉要的信息，，，，，例如网站结构的信息、数据库密码、API密钥、开发IDE设置等。。。。。。。

原文链接：

https://threatpost.com/open-git-directories-leave-390k-websites-vulnerable/137299/

钻研人员发现Supermicro服务器的BMC更新机造存在缝隙

Eclypsium的钻研人员发现Supermicro服务器的BMC更新机造存在安全缝隙，，，，，攻击者可能利用该缝隙装置悠久性恶意软件或者齐全擦除并沉新装置操作系统。。。。。。。BMC在底层运行，，，，，其级别低于主机的操作系统和系统固件，，，，，因而往往成为攻击者的指标。。。。。。。钻研人员发现Supermicro服务器的BMC更新机造没有实现代码的署名验证机造，，，，，也没有查抄固件是否是从合法起源下载的。。。。。。。

原文链接：

https://securityaffairs.co/wordpress/75999/hacking/flaw-supermicro-servers.html

Google颁布9月Android安全更新，，，，，共建复50多个缝隙

9月的Android安全更新蕴含两个部门，，，，，其中安全补丁级别2018-09-01建复了24个缝隙，，，，，安全补丁级别2018-09-05建复了35个缝隙。。。。。。。受影响的组件蕴含Android runtime、framework、Library、System和媒体框架等。。。。。。。严沉性较高的缝隙蕴含三个System特权提升缝隙和两个媒体框架中的远程代码执行缝隙。。。。。。。Google还颁布了2018年9月的Pixel/Nexus安全布告，，，，，建复了内核和高通组件中的15个安全缝隙。。。。。。。

原文链接：

https://source.android.com/security/bulletin/2018-09-01

Fraunhofer SIT钻研人员演示若何糊弄证书宣告机构

凭据The Register的一份汇报，，，，，德国Fraunhofer安全信息技术钻研所（SIT）的钻研人员演示若何糊弄证书宣告机构。。。。。。。Haya Shulman博士暗示，，，，，他们能够通过DNS缓存中毒攻击将CA沉定向至攻击者的推算机。。。。。。。由于基于域验证（DV）的证书能够被糊弄，，，，，组织应该转移到通过其它更安全的步骤验证的证书，，，，，例如扩大验证（EV）或组织验证（OV）。。。。。。。

原文链接：

https://www.infosecurity-magazine.com/news/german-researchers-spoof-protected/

1、美国当局问责办公室GAO颁布关于Equifax数据泄露事务的回首汇报