首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2018年第16周

颁布功夫 2018-04-25

一、本周安全态势综述
2018年04月16日至20日共收录安全缝隙47个，值得关注的是Belkin N750栈缓冲区溢露马脚；Discuz! DiscuzX CVE-2018-10298跨站剧本缝隙；Spring Data Commons远程代码执行缝隙；Oracle WebLogic Server反序列化远程代码执行缝隙；Adobe Flash Player越界写肆意代码缝隙。

本周值得关注的网络安全事务是泰国运营商TrueMove H的用户数据泄露，约4.6万用户受到影响；最新的钻研显示大量Android利用违规采集儿童的隐衷信息；钻研人员称数百万个APP通过告白SDK泄露用户数据；CCleaner APT调查后续：攻击者通过TeamViewer进入Piriform的网络；钻研人员发现数据公司LocalBlox的约4800万用户数据可公开接见。

凭据以上综述，本周安全威胁为中。

二、沉要安全缝隙列表
1、Belkin N750栈缓冲区溢露马脚

Belkin N750存在基于栈的缓冲区溢露马脚，允许远程攻击者利用缝隙向proxy.cgi发送HTTP要求，可使利用法式崩�；蛑葱兴烈獯�。

用户可参考如下厂商提供的安全补丁以建复该缝隙：https://www.tenable.com/security/research/tra-2018-08
2、Discuz! DiscuzX CVE-2018-10298跨站剧本缝隙

Discuz! DiscuzX data/template/1_diy_portal_view.tpl.php未限度内容，允许远程攻击者利用缝隙注入恶意剧本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

用户可参考如下厂商提供的安全补丁以建复该缝隙：https://laworigin.github.io/2018/04/22/Discuz-x-portal-Stored-XSS/
3、Spring Data Commons远程代码执行缝隙

Spring Data Commons处置SPEL表白式存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，以WEB权限执行肆意号令。

用户可参考如下厂商提供的安全补丁以建复该缝隙：https://pivotal.io/security/cve-2018-1273
4、Oracle WebLogic Server反序列化远程代码执行缝隙

Oracle WebLogic Server存在反序列化缝隙，允许远程攻击者利用缝隙提交特殊要求，以利用法式高低文执行肆意代码。

用户可参考如下厂商提供的安全补丁以建复该缝隙：http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
5、Adobe Flash Player越界写肆意代码缝隙

Adobe Flash Player存在越界写缝隙，允许远程攻击者利用缝隙提交特殊文件，诱使用户解析，能够利用法式高低文执行肆意代码。

用户可参考如下厂商提供的安全补丁以建复该缝隙：https://helpx.adobe.com/security/products/flash-player/apsb18-08.html

三、沉要安全事务综述
1、泰国运营商TrueMove H的用户数据泄露，约4.6万用户受到影响

安全钻研人员Niall Merrigan发现泰国最大的4G移动运营商TrueMove H的一个Amazon AWS S3可公开接见，泄露的数据蕴含用户的驾驶牌照和护照等身份证件的扫描，数据总量为约4.6万笔纪录，共32GB。该数据库直到4月12日还可持续接见，随后该公司限度了其接见权限。TrueMove H申明称数据泄露事务影响的是其子公司I True Mart。

原文链接：https://securityaffairs.co/wordpress/71406/data-breach/truemove-h-data-leak.html

2、最新的钻研显示大量Android利用违规采集儿童的隐衷信息

来自美国多所大学的隐衷专家分析了Google Play商店的“为家庭而设计”（DFF）打算的5855个Android app，发现超过57%的app可能违反了儿童在线隐衷�；しò福–OPPA）。约5%的app未经许可网络用户的地位和联系人信息，约19%的app与第三方共享敏感信息，约40%的app违反了旨在�；ざ缘腉oogle服务条款。重要原因是大无数app使用的SDK通常自动网络用户信息。

原文链接：http://news.softpedia.com/news/thousands-of-android-apps-are-tracking-kids-without-parental-consent-520696.shtml

3、钻研人员称数百万个APP通过告白SDK泄露用户数据

卡巴斯基尝试室安全钻研员Roman Unuchek暗示，数百万个APP使用了第三方的SDK，但并没有�；ふ庑└姘譙DK传输给第三方告白商的用户数据。这些数据蕴含用户的幼我身份信息如姓名、春秋、收入甚至电话号码和电子邮件地址等，这些数据通过HTTP以未加密的方式传输，很容易被拦截和批改，导致恶意软件习染和勒索等。

原文链接：https://threatpost.com/millions-of-apps-leak-private-user-data-via-leaky-ad-sdks/131251/

4、CCleaner APT调查后续：攻击者通过TeamViewer进入Piriform的网络

Avast钻研人员颁布CCleaner APT的后续调查了局。攻击者首先在2017年3月11日通过一个开发人员工作站上的TeamViewer进入Piriform公司的网络，其若何获取有效的登录痛处还不得而知。凭据日志文件，攻击者在本地功夫凌晨5点进行渗入，其使用的有效荷载是为这次攻击而定造的ShadowPad。

原文链接：https://blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer

5、钻研人员发现数据公司LocalBlox的约4800万用户数据可公开接见

UpGuard的钻研人员发现数据公司LocalBlox的一个AWS S3可公开接见，里面存储了该公司从Facebook、LinkedIn、Twitter和房地产公司Zillow等网站上网络的约4800万用户的公开资料。这些数据蕴含用户的姓名、诞生日期、现实地址、（LinkedIn）工作汗青纪录、部门用户的IP和电子邮件地址以及部门用户的幼我净资产等信息。

原文链接：https://www.bleepingcomputer.com/news/security/data-firm-left-profiles-of-48-million-users-on-a-publicly-accessible-aws-server/

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2018年第16周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线