酷播亮新聞
最棒的知識補給站

BUF早餐鋪 | 美國法院駁回卡巴斯基上訴;5G技術相容SIM也帶來安全風險;Windows JScript元件被曝R…

文章摘要: 二手手機資訊洩露亂象有記者調查發現有很多網友釋出關於二手手機資訊洩露的帖子

鮮鯽銀絲膾,香芹碧澗羹。

各位 Buffer 早上好,今天是 6 月 4 日星期一,農曆四月廿一。今天的 BUF 早餐內容主要有: 美國聯邦法院法官駁回了卡巴斯基對其產品禁令的訴訟; 新興5G技術可以相容SIM卡,給相關物聯網裝置帶來風險; 微軟 Windows JScript 元件被曝 RCE 漏洞; 健身應用程式 PumpUp 洩露健康資料以及私人訊息; CSS網路標準新增功能,可被利用獲取使用者社交資訊; 二手手機資訊洩露亂象:10元可買通訊錄,幾十元可恢復已經刪除的資料。

安全資訊早知道,兩分鐘聽完最新安全快訊~

以下請看詳細內容:

【國際時事】

美國聯邦法院法官駁回了卡巴斯基對其產品禁令的訴訟

美國聯邦法院法官 Colleen Kollar-Kotelly 本週三表態,駁回了卡巴斯基實驗室關於美國政府機構禁用其解決方案的訴訟。2017 年 9 月,美國國土安全部門對卡巴斯基頒佈禁令。12 月,美國總統特朗普簽署法案,明確要求美國政府機構不得使用卡巴斯基的產品和服務,法案將於 2018 年 10 月1 日施行。規定聯邦政府的任何部門、機構、組織或其他組成部分不得直接或通過與其他部門、機構、組織或聯邦政府部門其他組成部門合作或代表他們使用由卡巴斯基實驗室(實體)、控制卡巴斯基實驗室或受卡巴斯基獨立或共同控制的任何實體或者卡巴斯基實驗室有主要控制權的任何實體所提供的產品或服務。卡巴斯基認為禁令不公而上訴,但法官認為該禁令合法,並駁回了卡巴斯基的上訴。[來源: Securityaffairs ]

新興5G技術可以相容SIM卡,給相關物聯網裝置帶來風險

近年來,5G 技術發展迅速,新興的 5G 技術已經可以相容 SIM 卡。如今,大多數可用無線連線的物聯網裝置(如智慧工廠裝置、自動車輛、移動機器人和智慧手錶)都可依賴於手機中使用的相同安全和身份識別方法:訂戶身份模組或 SIM 卡。SIM 卡的 SMS 訊息通過 OTA 技術傳送,可包含各種被攻擊者濫用的命令。這些命令通過 5G傳送時,可能會擴大濫用的機率,進而增大對物聯網裝置的威脅。對此,有一種應對方法是使用名為電信安全協調器( telecom security orchestrator)的 5G 平臺。這個平臺在電信效能級別執行時,可以解決相關的問題。[來源: 趨勢科技 ]

【漏洞攻擊】

微軟 Windows JScript 元件被曝 RCE 漏洞

Telspace Systems 公司的研究員發現微軟的 Windows JScript 元件存在重要漏洞,可導致遠端攻擊者在使用者電腦上執行惡意代碼。這個漏洞的實現條件是攻擊者要誘導使用者訪問惡意網頁或者在系統上下載並開啟(一般由 Windows Script Host-wscript.exe 執行)惡意 JS 檔案,執行動作後,可導致特定指標在釋放後遭重用,進而在當下程序中執行程式碼。微軟目前已經收到研究人員的漏洞報告,但尚未釋出補丁。[來源: Securityaffairs ]

健身應用程式 PumpUp 洩露健康資料以及私人訊息

由加拿大公司開發的健身應用程式 PumpUp 將核心後端伺服器託管在亞馬遜雲端,因配置不當而洩露資訊。任何人無需密碼即可實時獲取其使用者的登入記錄、健康資訊和私人訊息。這臺伺服器原本充當訊息傳遞代理,可以將使用者請求和私人訊息發到該應用的其他使用者。這個代理使用的是不常見的 MQTT 協議,為暫時性協議,結果導致任何人都能看到實施數據流。目前,這個伺服器已經受到安全保護。[來源: zdNet ]

CSS 網路標準新增功能,可被利用獲取使用者社交資訊

Cascading Style Sheets(CSS)網路標準最近增加了一些功能。安全研究人員利用這些功能,將訪問者導向到演示站點,獲取他們的 Facebook 使用者名稱、頭像以及他們對 Facebook 特定網頁的喜好。這些資訊可能被廣告商利用,將 IP 地址或廣告配置檔案連結到真實的人身上,從而對使用者的線上隱私構成嚴重威脅。這個功能並非只針對 Facebook 使用者,而是影響所有允許通過 iframe 將其內容嵌入其他網頁的網站。通過誘導使用者訪問攻擊者搭建的將 iframe 嵌入到其他網站的惡意網站,就能實現攻擊。研究人員將問題報告給 Google 和 Mozilla 後,工作人員已經在 Chrome 63 和 Firefox 60 中解決了這個問題。[來源: bleepingcomputer ]

【國內新聞】

二手手機資訊洩露亂象:10元可買通訊錄,幾十元可恢復已經刪除的資料

日前,有記者調查發現有很多網友釋出關於二手手機資訊洩露的帖子,認為是二手手機收購商及維修商「監守自盜」的而導致資訊洩露。調查發現,網上有收售二手手科技、電腦的販子以一毛錢一條的價格打包出售機主資訊。而在二手手機交易和手機維修市場中,很多維修商稱只需花幾十元就能恢復手機通訊錄、照片、微信聊天記錄等,哪怕手機被恢復到出廠設定,也可以將刪除的資訊復原。專家表示,要想手機資訊不被洩露,通常需要從硬體安全和軟體安全兩方面去解決。「硬體安全就是外界所說的用水泡或者將手機砸爛。但這種方式無論從環保性還是經濟性而言,成本太高。」軟體安全,則是使用者爲了規避隱私風險,在出售手機前可以通過第三方粉碎軟體將所有個人資訊刪除粉碎,同時需要解除手機上涉及網路支付的所有軟體繫結。[來源: 鳳凰網 ]

*AngelaY  編譯整理,轉載請註明來自 FreeBuf.COM

如有侵權請來信告知:酷播亮新聞 » BUF早餐鋪 | 美國法院駁回卡巴斯基上訴;5G技術相容SIM也帶來安全風險;Windows JScript元件被曝R…