首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2018年第16周

颁布功夫 2018-04-25

一、本周安全态势综述
2018年04月16日至20日共收录安全缝隙47个，，，，，，值得关注的是Belkin N750栈缓冲区溢露马脚；；；；；；；；Discuz! DiscuzX CVE-2018-10298跨站剧本缝隙；；；；；；；；Spring Data Commons远程代码执行缝隙；；；；；；；；Oracle WebLogic Server反序列化远程代码执行缝隙；；；；；；；；Adobe Flash Player越界写肆意代码缝隙。。。。。。

本周值得关注的网络安全事务是泰国运营商TrueMove H的用户数据泄露，，，，，，约4.6万用户受到影响；；；；；；；；最新的钻研显示大量Android利用违规采集儿童的隐衷信息；；；；；；；；钻研人员称数百万个APP通过告白SDK泄露用户数据；；；；；；；；CCleaner APT调查后续：攻击者通过TeamViewer进入Piriform的网络；；；；；；；；钻研人员发现数据公司LocalBlox的约4800万用户数据可公开接见。。。。。。

凭据以上综述，，，，，，本周安全威胁为钟祝。。。。。

二、沉要安全缝隙列表
1、Belkin N750栈缓冲区溢露马脚

Belkin N750存在基于栈的缓冲区溢露马脚，，，，，，允许远程攻击者利用缝隙向proxy.cgi发送HTTP要求，，，，，，可使利用法式崩溃�；；；；；；；蛑葱兴烈獯搿！！！！！�

用户可参考如下厂商提供的安全补丁以建复该缝隙：https://www.tenable.com/security/research/tra-2018-08
2、Discuz! DiscuzX CVE-2018-10298跨站剧本缝隙

Discuz! DiscuzX data/template/1_diy_portal_view.tpl.php未限度内容，，，，，，允许远程攻击者利用缝隙注入恶意剧本或HTML代码，，，，，，当恶意数据被查看时，，，，，，可获取敏感信息或劫持用户会话。。。。。。

用户可参考如下厂商提供的安全补丁以建复该缝隙：https://laworigin.github.io/2018/04/22/Discuz-x-portal-Stored-XSS/
3、Spring Data Commons远程代码执行缝隙

Spring Data Commons处置SPEL表白式存在安全缝隙，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，以WEB权限执行肆意号令。。。。。。

用户可参考如下厂商提供的安全补丁以建复该缝隙：https://pivotal.io/security/cve-2018-1273
4、Oracle WebLogic Server反序列化远程代码执行缝隙

Oracle WebLogic Server存在反序列化缝隙，，，，，，允许远程攻击者利用缝隙提交特殊要求，，，，，，以利用法式高低文执行肆意代码。。。。。。

用户可参考如下厂商提供的安全补丁以建复该缝隙：http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
5、Adobe Flash Player越界写肆意代码缝隙

Adobe Flash Player存在越界写缝隙，，，，，，允许远程攻击者利用缝隙提交特殊文件，，，，，，诱使用户解析，，，，，，能够利用法式高低文执行肆意代码。。。。。。

用户可参考如下厂商提供的安全补丁以建复该缝隙：https://helpx.adobe.com/security/products/flash-player/apsb18-08.html

三、沉要安全事务综述
1、泰国运营商TrueMove H的用户数据泄露，，，，，，约4.6万用户受到影响

安全钻研人员Niall Merrigan发现泰国最大的4G移动运营商TrueMove H的一个Amazon AWS S3可公开接见，，，，，，泄露的数据蕴含用户的驾驶牌照和护照等身份证件的扫描，，，，，，数据总量为约4.6万笔纪录，，，，，，共32GB。。。。。。该数据库直到4月12日还可持续接见，，，，，，随后该公司限度了其接见权限。。。。。。TrueMove H申明称数据泄露事务影响的是其子公司I True Mart。。。。。。

原文链接：https://securityaffairs.co/wordpress/71406/data-breach/truemove-h-data-leak.html

2、最新的钻研显示大量Android利用违规采集儿童的隐衷信息

来自美国多所大学的隐衷专家分析了Google Play商店的“为家庭而设计”（DFF）打算的5855个Android app，，，，，，发现超过57%的app可能违反了儿童在线隐衷保�；；；；；；；しò福–OPPA）。。。。。。约5%的app未经许可网络用户的地位和联系人信息，，，，，，约19%的app与第三方共享敏感信息，，，，，，约40%的app违反了旨在保�；；；；；；；ざ缘腉oogle服务条款。。。。。。重要原因是大无数app使用的SDK通常自动网络用户信息。。。。。。

原文链接：http://news.softpedia.com/news/thousands-of-android-apps-are-tracking-kids-without-parental-consent-520696.shtml

3、钻研人员称数百万个APP通过告白SDK泄露用户数据

卡巴斯基尝试室安全钻研员Roman Unuchek暗示，，，，，，数百万个APP使用了第三方的SDK，，，，，，但并没有保�；；；；；；；ふ庑└姘譙DK传输给第三方告白商的用户数据。。。。。。这些数据蕴含用户的幼我身份信息如姓名、春秋、收入甚至电话号码和电子邮件地址等，，，，，，这些数据通过HTTP以未加密的方式传输，，，，，，很容易被拦截和批改，，，，，，导致恶意软件习染和勒索等。。。。。。

原文链接：https://threatpost.com/millions-of-apps-leak-private-user-data-via-leaky-ad-sdks/131251/

4、CCleaner APT调查后续：攻击者通过TeamViewer进入Piriform的网络

Avast钻研人员颁布CCleaner APT的后续调查了局。。。。。。攻击者首先在2017年3月11日通过一个开发人员工作站上的TeamViewer进入Piriform公司的网络，，，，，，其若何获取有效的登录痛处还不得而知。。。。。。凭据日志文件，，，，，，攻击者在本地功夫凌晨5点进行渗入，，，，，，其使用的有效荷载是为这次攻击而定造的ShadowPad。。。。。。

原文链接：https://blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer

5、钻研人员发现数据公司LocalBlox的约4800万用户数据可公开接见

UpGuard的钻研人员发现数据公司LocalBlox的一个AWS S3可公开接见，，，，，，里面存储了该公司从Facebook、LinkedIn、Twitter和房地产公司Zillow等网站上网络的约4800万用户的公开资料。。。。。。这些数据蕴含用户的姓名、诞生日期、现实地址、（LinkedIn）工作汗青纪录、部门用户的IP和电子邮件地址以及部门用户的幼我净资产等信息。。。。。。

原文链接：https://www.bleepingcomputer.com/news/security/data-firm-left-profiles-of-48-million-users-on-a-publicly-accessible-aws-server/

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研

信息安全周报-2018年第16周

关于8827太阳集团

解决规划

联系8827太阳集团

7*24幼时服务热线