安全漏洞与安全事件日报

天融信安全云服务中心
安全漏洞与安全事件日报
(2017-05-09)
最新安全漏洞漏洞标题:PCRE2 缓冲区错误漏洞提交时间:2017-05-05披露/发现时间:漏洞等级:高CVE-ID:CVE-2017-8786漏洞类别:缓冲区错误CNNVD-ID:CNNVD-201705-257影响组件:PCRE2 10.23版本中的pcre2test.c文件存在基于堆的缓冲区溢出漏洞漏洞描述:PCRE2是软件开发者Philip Hazel所研发的一个用于修改PCRE(开源正则表达式函数库)的API,远程攻击者可借助特制的正则表达式利用该漏洞造成拒绝服务。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://vcs.pcre.org/pcre2/code/trunk/src/pcre2test.c?r1=692&r2=697
漏洞标题:Atlassian SourceTree 命令注入漏洞提交时间:2017-05-05披露/发现时间:漏洞等级:高CVE-ID:CVE-2017-8768漏洞类别:命令注入CNNVD-ID:CNNVD-201705-258影响组件:Atlassian SourceTree 2.5c及之前的版本漏洞描述:Atlassian SourceTree是澳大利亚Atlassian公司一款免费的Git和Mercurial客户端工具,能够利用可视化界面管理存储库,攻击者可利用该漏洞执行任意的操作系统命令。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://www.atlassian.com/
漏洞标题:GitLab 跨站脚本漏洞提交时间:2017-05-05披露/发现时间:漏洞等级:高CVE-ID:CVE-2017-8778漏洞类别:跨站脚本CNNVD-ID:CNNVD-201705-259影响组件:受到影响:GitLab 8.14.9版本,8.15.6之前的8.15.x版本,8.16.5之前的8.16.x版本。漏洞描述:GitLab是一套利用Ruby on Rails开发的开源应用程序,可实现一个自托管的Git(版本控制系统)项目仓库,它拥有与Github类似的功能,可查阅项目的文件内容、提交历史、Bug列表等,GitLab中存在跨站脚本漏洞。远程攻击者可借助SCRIPT元素利用该漏洞注入任意的Web脚本或HTML。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://about.gitlab.com/2017/02/15/gitlab-8-dot-16-dot-5-security-release/
漏洞标题:MetalGenix GeniXCMS 跨站脚本漏洞提交时间:2017-05-05披露/发现时间:漏洞等级:高CVE-ID:CVE-2017-8780漏洞类别:跨站脚本CNNVD-ID:CNNVD-201705-260影响组件:MetalGenix GeniXCMS 1.0.2版本漏洞描述:MetalGenix GeniXCMS是印尼MetalGenix公司的一套基于PHP的内容管理系统和框架(CMSF),它提供用户管理、内容管理和菜单管理等模块,远程攻击者可利用该漏洞注入任意的Web脚本或HTML。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://github.com/semplon/GeniXCMS
漏洞标题:rpcbind、LIBTIRPC和NTIRPC 安全漏洞提交时间:2017-05-05披露/发现时间:漏洞等级:高CVE-ID:CVE-2017-8779漏洞类别:安全漏洞CNNVD-ID:CNNVD-201705-261影响组件:rpcbind 0.2.4及之前的版本;LIBTIRPC 1.0.1及之前的版本,1.0.2-rc版本至1.0.2-rc3版本;NTIRPC 1.4.3及之前的版本。漏洞描述:rpcbind、LIBTIRPC和NTIRPC都是应用在Linux中的应用程序。rpcbind是一个将RPC程序编号转换为通用地址的服务器;LIBTIRPC是一个包含支持使用远程过程调用(RPC)API的程序的库的软件包;NTIRPC是一个用于nfs-ganesha的运输的独立RPC库,rpcbind、LIBTIRPC和NTIRPC中存在安全漏洞,该漏洞源于程序在为XDR字符串分配内存时,没有确定最大RPC数据的大小。攻击者可通过向111端口发送特制的UDP数据包利用该漏洞造成拒绝服务(内存消耗)。安全建议:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://github.com/guidovranken/rpcbomb/
安全资讯

筑牢保护个人信息的法律防线

黑客针对谷歌在线文档Docs发起大规模钓鱼攻击

本周三,谷歌及时解决了针对谷歌Docs服务用户的一起大规模钓鱼攻击。美国当地时间周三下午,这起钓鱼骗局在网络上快速传播,试图入侵用户的谷歌账号。许多用户表示,这起骗局的设计非常精巧,令人难以防范。谷歌向用户发出建议,即不要点击陌生链接。随后,谷歌发布Twitter消息称,局面已经得到了控制。钓鱼攻击并不新颖,而谷歌用户也常常成为被钓鱼的目标。
2014年,类似的骗局瞄准了谷歌Docs和Drive用户。有报道称,此次的攻击瞄准记者和教育行业人士。
此次骗局略有不同,其目的是获得用户帐号的访问权限,而不是直接窃取用户名和密码。攻击者开发了一款看起来类似谷歌Docs的应用,让没有防范的受害者主动给予某些权限。
赛门铁克信息安全技术和响应集团总监林·奥莫楚(Lin O‘Murchu)表示,给予Gmail帐号权限“相当于提供了用户名和密码”。这意味着,即使用户没有输入密码,他们也可能成为钓鱼攻击的受害者。
在入侵成功后,钓鱼应用会向用户的通讯录好友发送电子邮件,从而实现传播。谷歌随后禁用了这一钓鱼应用。
恶意软件“新生代” 勒索软件成“毒王”
勒索软件晋级恶意软件之首
在今年各大网络安全厂商发布的年度安全报告中,不约而同地都将勒索软件列为2016年最为严重的安全威胁。360认为勒索软件已经成为新兴的“病毒之王”,亚信安全将2016年称为“真正的勒索软件之年”,赛门铁克指出勒索软件已经成为当今企业和消费者面临的最大网络安全威胁之一,卡巴斯基实验室将勒索软件作为2016年主要话题,安天实验室则多次发布了针对勒索软件的专题报告。
勒索软件已然成为恶意软件中的“希望之星”,正在以越来越强的危害性而引起人们的关注。据360数据,去年在我国就有497万台电脑遭受其攻击,是2015年的数倍。犯罪团伙遍地撒网,利用木马、广告、邮件等方式传播勒索软件,索要以比特币为主的赎金,赚取着一本万利的高额收益,已形成了新型的网络敲诈犯罪模式。根据2017年1月美国联邦调查局(FBI)发布的调查,勒索软件的赎金总额由2015年的2400万美元跃升到2016年的10亿美元,增长4067%。据调查显示:赎金的平均金额也在不断提高,从2015年末的295美元增加至2016年的679美元。根据赛门铁克安全响应中心的负责人Kevin Haley预计,到2017年底,勒索软件的平均赎金将会飙升到上千美元。
与现实中的勒索不同,互联网的虚拟性使得在网络上勒索“赎金”更为隐蔽和便捷,而且所付出的成本非常低廉,以至于越来越多的犯罪分子将目光转向此处。由于现代加密技术的强大,当前的现实情况很令人沮丧:一旦中了勒索软件,个人和企业往往无计可施,尤其是企业为了核心的数据资产,只能就范交纳赎金拿回数据或系统控制权。美国FBI就曾建议企业,在感染了勒索软件之后最好支付赎金来找回重要数据,这也是当下情况的无奈之举。
但有时企业付出了金钱,还是遭受了损失。例如去年有一种名为Ranscam的“勒索软件”,表面上加密了受害者的文档并索要赎金,实际上它本身并没有加密技术,而是直接删掉了用户的文档。很多新的勒索软件甚至对系统进行二次加密,需要两次支付才能解密全部文件。

银监会:押品纳入全面风险管理体系 – 泉州晚报数字报·泉州网

在数据为王的今天,勒索软件可谓找到了社会最为关注的“痛点”。与很多安全威胁的发展类似,勒索软件起源于国外,随着条件的成熟,在我国也逐渐进入爆发期。自2013年开始萌芽,短短几年间,勒索软件以越来越猛的发展势头,占据了主流安全威胁的席位,成为未来直接威胁到个人和企业网络安全的“全民公敌”。
从电脑病毒到勒索软件
勒索软件是近期恶意软件的代表,总体来看,恶意软件的发展经历了从技术炫耀到直接逐利的转变过程。
恶意软件与计算机系统相生相伴,早期对恶意软件的定义就是恶意植入系统破坏和盗取系统信息的程序,这里最早的代表无疑是电脑病毒。20世纪70年代,美国作家雷恩在所著《P1的青春》一书中提出了一种能够自我复制的计算机程序,并将之命名为“计算机病毒”。20世纪80年代后期,巴基斯坦的一对编写软件的兄弟为了打击盗版软件的使用者,设计了一个名为“巴基斯坦智囊”的病毒,传染软盘引导区,成为最早在世界上流行的电脑病毒。1988年,莫里斯蠕虫病毒诞生,其简单的无限复制模式导致了很多电脑系统的崩溃,病毒的影响力开始初步显现。
随着个人电脑开始走入千家万户,电脑病毒开始大规模泛滥,破坏软盘和硬盘引导区的病毒、感染可执行文件的病毒、破坏数据的病毒、宏病毒、蠕虫病毒纷纷肆虐一时,甚至出现了诸如CIH这种可破坏电脑硬件的病毒。
电脑病毒的发展,一直持续到21世纪初,其后随着互联网的广泛普及,恶意软件开始进入流氓软件时代。流氓软件起源于国外的“Badware”一词,包括间谍软件、行为纪录软件、浏览器劫持软件、搜索引擎劫持软件、广告软件、自动拨号软件、盗窃密码软件等。
这些恶意软件的最大特征是具有明显的商业特征,目的是散布广告、增加用户、提高流量、推销产品,形成了一条灰色产业链。流氓软件的安装往往是在用户毫不知情的状况下悄悄地进行,披着XX助手、加速器、工具条等的外衣,以插件、网页代码、共享软件捆绑的方式进入用户的电脑,从而劫持了用户的上网路径,使用户的系统性能不堪重负,甚至于崩溃。
流氓软件并不像病毒一样给用户带来直接危害,在当时的法律治理上也处于灰色地带,并且由于流氓软件的可见利益,不仅是黑客,很多正规公司也加入其中,从而使得流氓软件在21世纪初泛滥成灾。据媒体报道,当时一个“装机量”大的广告插件公司,凭流氓软件月收入可在百万元以上。
流氓软件的肆无忌惮,终于引起了社会的强烈关注,一时间成了过街老鼠,人人喊打。2005年,多家互联网和安全企业联合发布了《软件产品行为安全自律公约》,国家也把对流氓软件的检测纳入到杀毒软件的检测标准之中。
之后随着360为首的安全厂商纷纷宣布杀毒软件进入免费时代后,不仅流氓软件几乎销声匿迹,电脑病毒也随之大幅减少。但与此同时,有组织化、目的更为明确的网络犯罪开始涌现,恶意软件的编写变成了一种受经济利益驱使的商业活动。
如果说早期恶意软件的编写者还有炫技、恶作剧等因素,现在的恶意软件已经发展成为目的明确、组织严密的网络犯罪链条。现在付诸报端的网络安全事件,小到对普通用户的网银欺诈、大到对金融系统、大型企业核心数据的直接攻击,不管所用方式是木马、后门、新型病毒,目的都在于获取更多的经济利益。
由此来看,勒索软件的爆发绝不是偶然性,而是恶意软件演变中的必然产物。用360首席安全官谭晓生的话说:“勒索软件已经成为一种十分完美的商业模式。”加密技术的发展使得勒索成为可能,互联网的泛在使得软件传播便捷、成本低廉,虚拟货币的成熟使得支付过程隐蔽且安全。勒索软件可谓生逢其时,迎来了最好的发展时期。
文件分享有许多风险。如果您没有检查和设置适当的配置,他人可能会访问到您电脑中的所有文件,包括您的邮件、医疗记录、照片或者其它的私人文档。
认清勒索软件才能有效防范
进入2017年,勒索软件继续在全球肆虐,而且变得更为复杂和多样,几乎每天都有最新的勒索软件出现。很多的勒索软件可以通过购买或者租赁得到,而不需要专业知识,使得更多的犯罪分子趋之若鹜。
最关键的问题是,很多用户对勒索软件还一无所知。根据卡巴斯基的调查,有43%的普通用户根本不知道勒索软件为何物。更多的用户不知道勒索软件的危害性,更谈不上如何防护。
安全厂商已经行动起来,通过专门的工具和分析报告帮助用户来摆脱勒索软件的威胁。作为普通用户,我们首先要做好数据备份、打好系统补丁,在技术防御措施上尽量补齐不足,而且还要提高认识,了解勒索软件的传染方式,尽可能避免中招。
妥协绝不是应对勒索软件的办法,一次次满足犯罪分子的要求只会助长他们的进一步索取。无论是从技术层面、宣传层面、法律层面,勒索软件已经值得我们去认真研究,谨慎对待,保护自己远离“毒王”的威胁。

瑞星发布反诈骗安全网关,助运营商保护用户隐私

美国发汽车网络安全指南 渗透测试寻漏洞

(内容来源:CNNVD 补天 天融信安全云服务中心 阿尔法实验室等相关国内热门安全论坛)
长按二维码向我转账
受苹果公司新规定影响,微信 iOS 版的赞赏功能被关闭,可通过二维码转账支持公众号。
微信扫一扫关注该公众号

互联网的协作功能,允许其它网站或程序访问您的账号,所以我们有必要提高警惕。不要被猎奇的心引导着随便点击允许按钮,进而上当受骗;

猜您喜欢

哈市各类单位都得进行劳动用工备案啦 招用职工或续订合同须30日内…
信息安全意识游戏之密码安全挑战赛
网络信息安全小调
女大学生着古装扮“仙女”拍唯美毕业照
KRAFTFOODSGROUP FSBWAHOMELENDING
浅谈三大安全意识教育培训服务