首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2018年第35周

颁布功夫 2018-09-03

一、本周安全态势综述

2018年08月27日至9月02日共收录安全缝隙54个，值得关注的是腾讯Foxmail号令注入缝隙；OpenSSH auth-gss2.c用户枚举缝隙；Google Chrome Blob API缓冲区溢露马脚；Emerson DeltaV DCS Workstation缓冲区溢露马脚；Adobe Acrobat/Reader CVE-2018-12808越界写肆意代码执行缝隙。

本周值得关注的网络安全事务是爱尔兰电信公司Eir的一台笔记本被盗，导致约3.7万用户的信息泄露;Apple在线商店中的缝隙导致超过7700万T-Mobile用户账户的PIN码露出;Abbyy因数据库配置谬误导致20多万个客户文件泄露;西班牙银行官网遭到DDoS攻击，网站临时无法接见;加拿大航空公司遭黑客入侵，约2万名用户的信息疑泄露。

凭据以上综述，本周安全威胁为中。

二、沉要安全缝隙列表

1、腾讯Foxmail号令注入缝隙

Tencent Foxmail URI处置存在输入验证缝隙，允许远程攻击者能够利用缝隙提交特殊的文件或页面要求，以利用法式高低文执行肆意号令。

用户可参考如下厂商提供的安全补丁以建复该缝隙：https://www.zerodayinitiative.com/advisories/ZDI-18-584/

2、OpenSSH auth-gss2.c用户枚举缝隙

OpenSSH auth-gss2.c存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，判断用户名。

用户可参考如下厂商提供的安全补丁以建复该缝隙：http://seclists.org/oss-sec/2018/q3/180

3、Google Chrome Blob API缓冲区溢露马脚

Google Chrome Blob API存在堆溢露马脚，允许远程攻击者能够利用缝隙提交特殊的WEB页，诱使用户解析，可使利用法式崩�；蛑葱兴烈獯�。

用户可参考如下厂商提供的安全补丁以建复该缝隙：https://chromereleases.googleblog.com/2017/12/stable-channel-update-for-desktop.html

4、Emerson DeltaV DCS Workstation缓冲区溢露马脚

Emerson Electric DeltaV盛开通讯端口存在栈溢露马脚，允许远程攻击者能够利用缝隙提交特殊的要求，可使利用法式崩�；蛑葱兴烈獯�。

用户可参考如下厂商提供的安全补丁以建复该缝隙：https://ics-cert.us-cert.gov/advisories/ICSA-18-228-01

5、Adobe Acrobat/Reader CVE-2018-12808越界写肆意代码执行缝隙

Adobe Acrobat/Reader处置PDF文件存在越界写缝隙，允许远程攻击者能够利用缝隙提交特殊的文件要求，诱使用户解析，能够利用法式高低文执行肆意代码。

用户可参考如下厂商提供的安全补丁以建复该缝隙：https://helpx.adobe.com/security/products/acrobat/apsb18-29.html

三、沉要安全事务综述

1、爱尔兰电信公司Eir的一台笔记本被盗，导致约3.7万用户的信息泄露

凭据爱尔兰电信公司Eir官网上的通知，该公司的一台蕴含用户数据的未加密的笔记本电脑遭窃，导致约3.7万用户的幼我信息泄露。泄露的数据蕴含姓名、电子邮件地址、电话号码和eir账号。该公司称泄露的数据不蕴含任何用户的财政数据。目前该公司已向数据�；ぷㄔ焙桶季贝萘苏獯问挛�。

原文链接：https://securityaffairs.co/wordpress/75655/data-breach/eir-data-breach.html

2、Apple在线商店中的缝隙导致超过7700万T-Mobile用户账户的PIN码露出

凭据美媒BuzzFeedNews的报路，Apple在线商店中的缝隙导致超过7700万T-Mobile用户账户的PIN码露出。此表，手机保险公司Asurion的官网也存在一个缝隙，导致Asurion的AT＆T客户的PIN码露出。这两个缝隙是由安全钻研人员Phobia和Nicholas “Convict” Ceraolo发现的。Apple网站上的缝隙可能与集成T-Mobile的帐户验证API时的工程谬误有关。Apple和Asurion已经建复了有关缝隙。

原文链接：https://www.buzzfeednews.com/article/nicolenguyen/tmobile-att-account-pin-security-flaw-apple

3、Abbyy因数据库配置谬误导致20多万个客户文件泄露

8月19日安全钻研人员Bob Diachenko在AWS云平台上发现属于OCR软件开发商Abbyy的一个MongoDB服务器无需登录即可公开接见。该数据库大幼为142GB，蕴含多种敏感文件的扫描件，如合同、保密和谈、内部函件及备忘录等。其中蕴含属于Abbyy客户的20多万个文件。该数据库可能是Abbyy的基础设施的一部门。Abbyy的安全团队在接到通知两天后建复了该数据库的配置谬误问题。

原文链接：https://www.bleepingcomputer.com/news/security/ocr-software-dev-exposes-200-000-customer-documents/

4、西班牙银行官网遭到DDoS攻击，网站临时无法接见

凭据路透社的报路，从8月26日星期日起头西班牙银行的官网遭到了散布式回绝服务攻击（DDoS），其网站临时无法接见。该银行的讲话人暗示，这次攻击对该银行的服务或该银行与欧洲中央银行或其它机构的通鸭有造成任何影响，并且没有任何数据泄露的风险。截至周二下午，该银行的网站仍处于离线状态。

原文链接：https://uk.reuters.com/article/us-spain-cyber-cenbank/bank-of-spains-website-hit-by-cyber-attack-idUKKCN1LC23B

5、加拿大航空公司遭黑客入侵，约2万名用户的信息疑泄露

8月22日至24日期间，加拿大航空公司发现异常的登录活动，为了�；び没У氖�，该公司锁定了所有170万移动app用户的账户。29日，该公司通知约2万名用户，称其幼我资料可能遭到未授权的接见。这些资料至少蕴含姓名、电子邮件地址和电话号码，也可能蕴含性别、诞生日期、国籍、护照号码等信息。在一份关于该事务的申明中该公司暗示用户的银行卡数据以及aircanada.com帐户不受影响。

原文链接：https://www.bleepingcomputer.com/news/security/air-canada-mobile-app-users-affected-by-data-breach/

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2018年第35周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线