首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2018年第16周

宣布时间 2018-04-25

一、本周清静态势综述
2018年04月16日至20日共收录清静误差47个，值得关注的是Belkin N750栈缓冲区溢出误差；Discuz! DiscuzX CVE-2018-10298跨站剧本误差；Spring Data Commons远程代码执行误差；Oracle WebLogic Server反序列化远程代码执行误差；Adobe Flash Player越界写恣意代码误差。

本周值得关注的网络清静事务是泰国运营商TrueMove H的用户数据泄露，约4.6万用户受到影响；最新的研究显示大宗Android应用违规收罗儿童的隐私信息；研究职员称数百万个APP通过广告SDK泄露用户数据；CCleaner APT视察后续：攻击者通过TeamViewer进入Piriform的网络；研究职员发明数据公司LocalBlox的约4800万用户数据可果真会见。

凭证以上综述，本周清静威胁为中。

二、主要清静误差列表
1、Belkin N750栈缓冲区溢出误差

Belkin N750保存基于栈的缓冲区溢出误差，允许远程攻击者使用误差向proxy.cgi发送HTTP请求，可使应用程序崩�；蛑葱许б獯�。

用户可参考如下厂商提供的清静补丁以修复该误差：https://www.tenable.com/security/research/tra-2018-08
2、Discuz! DiscuzX CVE-2018-10298跨站剧本误差

Discuz! DiscuzX data/template/1_diy_portal_view.tpl.php未限制内容，允许远程攻击者使用误差注入恶意剧本或HTML代码，当恶意数据被审查时，可获取敏感信息或挟制用户会话。

用户可参考如下厂商提供的清静补丁以修复该误差：https://laworigin.github.io/2018/04/22/Discuz-x-portal-Stored-XSS/
3、Spring Data Commons远程代码执行误差

Spring Data Commons处置惩罚SPEL表达式保存清静误差，允许远程攻击者使用误差提交特殊的请求，以WEB权限执行恣意下令。

用户可参考如下厂商提供的清静补丁以修复该误差：https://pivotal.io/security/cve-2018-1273
4、Oracle WebLogic Server反序列化远程代码执行误差

Oracle WebLogic Server保存反序列化误差，允许远程攻击者使用误差提交特殊请求，以应用程序上下文执行恣意代码。

用户可参考如下厂商提供的清静补丁以修复该误差：http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
5、Adobe Flash Player越界写恣意代码误差

Adobe Flash Player保存越界写误差，允许远程攻击者使用误差提交特殊文件，诱使用户剖析，可以应用程序上下文执行恣意代码。

用户可参考如下厂商提供的清静补丁以修复该误差：https://helpx.adobe.com/security/products/flash-player/apsb18-08.html

三、主要清静事务综述
1、泰国运营商TrueMove H的用户数据泄露，约4.6万用户受到影响

清静研究职员Niall Merrigan发明泰国最大的4G移动运营商TrueMove H的一个Amazon AWS S3可果真会见，泄露的数据包括用户的驾驶执照和护照等身份证件的扫描，数据总量为约4.6万条纪录，共32GB。该数据库直到4月12日还可继续会见，随后该公司限制了其会见权限。TrueMove H声明称数据泄露事务影响的是其子公司I True Mart。

原文链接：https://securityaffairs.co/wordpress/71406/data-breach/truemove-h-data-leak.html

2、最新的研究显示大宗Android应用违规收罗儿童的隐私信息

来自美国多所大学的隐私专家剖析了Google Play市肆的“为家庭而设计”（DFF）妄想的5855个Android app，发明凌驾57%的app可能违反了儿童在线隐私�；しò福–OPPA）。约5%的app未经允许网络用户的位置和联系人信息，约19%的app与第三方共享敏感信息，约40%的app违反了旨在�；ざ降腉oogle服务条款。主要缘故原由是大大都app使用的SDK通常自动网络用户信息。

原文链接：http://news.softpedia.com/news/thousands-of-android-apps-are-tracking-kids-without-parental-consent-520696.shtml

3、研究职员称数百万个APP通过广告SDK泄露用户数据

卡巴斯基实验室清静研究员Roman Unuchek体现，数百万个APP使用了第三方的SDK，但并没有�；ふ庑┕愀鍿DK传输给第三方广告商的用户数据。这些数据包括用户的小我私家身份信息如姓名、年岁、收入甚至电话号码和电子邮件地点等，这些数据通过HTTP以未加密的方法传输，很容易被阻挡和修改，导致恶意软件熏染和勒索等。

原文链接：https://threatpost.com/millions-of-apps-leak-private-user-data-via-leaky-ad-sdks/131251/

4、CCleaner APT视察后续：攻击者通过TeamViewer进入Piriform的网络

Avast研究职员宣布CCleaner APT的后续视察效果。攻击者首先在2017年3月11日通过一个开发职员事情站上的TeamViewer进入Piriform公司的网络，其怎样获取有用的登录凭证还不得而知。凭证日志文件，攻击者在外地时间破晓5点举行渗透，其使用的有用荷载是为此次攻击而定制的ShadowPad。

原文链接：https://blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer

5、研究职员发明数据公司LocalBlox的约4800万用户数据可果真会见

UpGuard的研究职员发明数据公司LocalBlox的一个AWS S3可果真会见，内里存储了该公司从Facebook、LinkedIn、Twitter和房地产公司Zillow等网站上网络的约4800万用户的果真资料。这些数据包括用户的姓名、出生日期、现实地点、（LinkedIn）事情历史纪录、部分用户的IP和电子邮件地点以及部分用户的小我私家净资产等信息。

原文链接：https://www.bleepingcomputer.com/news/security/data-firm-left-profiles-of-48-million-users-on-a-publicly-accessible-aws-server/

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

信息清静周报-2018年第16周

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

服务热线