悬镜安全丨第六十一期 全球一周安全情报（0106-0110）（悬镜安全公司）

悬镜安全丨第六十一期 全球一周安全情报（0106-0110）（悬镜安全公司）

纵观全球态势，感知安全天下。悬镜安全精心筛选过全球一周安全大事，带你聚焦安全热点。

1.谷歌Project Zero漏洞披露政策变更，建议满90天再公布

谷歌 Project Zero 团队以披露大量严重漏洞而被人们所熟知，但也因为严格的快速披露政策而遭到了行业内的批评。2020 年1月，谷歌安全团队试图制定新的政策，将问题披露的宽限期调整为90天。

下面是关于新政策与2019年的政策对比：

相比之下，2014 年有些 bug 拖了六个月、甚至更长的时间来解决。在审查“复杂且经常引起争议”的漏洞披露政策之后，谷歌还是决定在 2020 年做出一些改变。

那些易被曝光漏洞的企业，将给予90天的缓冲时间以修复相关的漏洞。若企业顺利或提前完成了修复，也可以与谷歌 Project Zero 取得联系，以提前公布漏洞详情。

当然，在争取推动“更快的补丁开发”流程的同时，Project Zero 还希望全面提升补丁程序的采用率。

1.现有政策下，谷歌希望供应商能够快速开发补丁，并制定适当的流程，以将其交付给最终客户，我们将继续紧迫地追求这一点。

2.有很多次供应商只是简单记录漏洞，而没有真正考虑是否修复漏洞。鉴于此，Project Zero 团队希望推动更快的补丁开发，以防别有用心者轻易地向用户发动攻击。

3.改进后的新政策指出，发现漏洞之后，最终用户的安全性不会就此得到改善，直到 bug 得到适当的修复。只有最终用户意识到相关 bug，并在他们的设备上实施了修补，才能够从漏洞修复中得到益处。

最后，在新政策转入“长期实施”之前，Google 将给予 12 个月的试用。

稿源：cnBeta

2.三星Galaxy漏洞遭黑客利用 多位明星被勒索

北京时间1月9日上午消息，据国外媒体报道，韩国最可靠的新闻调查来源Dispatch发布的一份报告显示，一些一线演员、偶像，甚至是一名著名厨师，都曾遭到了黑客的勒索。这些黑客通过三星旗舰Galaxy手机上的一个漏洞获取了这些受害者的私人数据。

一旦黑客得以接触这些名人的手机，他们就可以获取设备中的短信、照片和视频等数据。在得到这些名人的私人数据之后，黑客索要钱财。如果明星拒绝付钱，黑客会将所有数据公之于众。

所有K-pop粉丝都清楚，韩国人不会轻易忘记并原谅明星的丑闻。一旦明星发现自己陷入这样的情况，他们并没有太多的选择。作为公众人物，他们只能选择付钱给黑客，否则自己的职业生涯会面临危机。

3.Landry连锁餐厅遭恶意软件攻击

美国颇受欢迎的饭店连锁店Landry's公布了攻击者对销售点（POS）系统进行恶意软件攻击，攻击者可以窃取客户的支付卡信息。

兰德里（Landry）拥有并经营600多家酒吧，餐厅，酒店，赌场，食品和饮料商店，旗下有60多个不同品牌，例如兰德里（Landry）的海鲜，Chart House，Saltgrass牛排馆，Claim Jumper，Morton's The Steakhouse，Mastro's Restaurants和Rainforest Cafe。

根据本周发布的 违规通知，该恶意软件旨在窃取敏感的客户信用卡数据，包括信用卡号，有效期，验证码，在某些情况下还包括持卡人姓名。

PoS恶意软件感染了Landry所有拥有地点的销售点终端，但是幸运的是，由于公司使用的端到端加密技术，攻击者未能从其餐厅刷卡中窃取支付卡数据。

但是，Landry的网点也使用“连接了读卡器的订单输入系统，用于服务员进入厨房和酒吧的订单以及刷Landry的Select Club奖励卡”，这使攻击者能够在“极少数情况下”成功窃取客户的付款数据。

据该公司称，POS恶意软件正在2019年3月13日至2019年10月17日之间积极扫描其系统是否有刷卡; 在某些位置，它可能早在2019年1月18日就已安装。

“在调查过程中，我们删除了恶意软件并实施了增强的安全措施，并且我们为服务人员提供更多培训。”

4.通过发送短信即可破解TikTok帐户

TikTok是2019年下载量排名第三的应用程序，它受到用户隐私权的严格审查，审查具有政治争议的内容并出于国家安全的考虑，但尚未结束，因为数十亿TikTok用户的安全性现在受到质疑。

TikTok视频应用程序包含潜在的危险漏洞，这些漏洞可能使远程攻击者仅通过了解目标受害者的移动数量即可劫持任何用户帐户。

在与The Hacker News私下共享的一份报告中，Check Point的网络安全研究人员透露，将多个漏洞链接在一起可以使他们远程执行恶意代码，并未经受害者的同意代表受害者执行有害的操作。

报告的漏洞包括严重性较低的问题，例如SMS链接欺骗，开放重定向和跨站点脚本（XSS），这些漏洞结合在一起可以使远程攻击者能够执行有重大影响的攻击，其中包括：

1.从受害者的TikTok个人资料中删除任何视频，

2.将未经授权的视频上传到受害者的TikTok个人资料中，

3.公开公开的“隐藏”视频，

4.揭示保存在帐户中的个人信息，例如私人地址和电子邮件。

攻击利用了TikTok在其网站上提供的不安全的SMS系统，该系统使用户可以向其电话号码发送消息，并带有下载视频共享应用程序的链接。

研究人员称，攻击者可以代表TikTok将SMS消息发送到任何电话号码，并将修改后的下载URL发送到恶意页面，该恶意页面旨在在已安装TikTok应用程序的目标设备上执行代码。

与开放重定向和跨站点脚本问题结合使用时，该攻击可能使黑客一旦单击TikTok服务器通过SMS发送的链接，就可以代表受害者执行JavaScript代码，如与The共享的视频演示Check Point中所示。

该技术通常称为跨站点请求伪造攻击，其中，攻击者诱使经过身份验证的用户执行不需要的操作。

研究人员在 今天发表的博客文章中说：“由于缺乏反跨站点的请求伪造机制，我们意识到，无需受害者的同意，我们就可以执行JavaScript代码并代表受害者执行操作。”

“将用户重定向到恶意网站将执行JavaScript代码，并使用受害者的Cookie向Tiktok发送请求。”

Check Point在2019年11月下旬向TikTok的开发人员ByteDance负责地报告了这些漏洞，然后他在一个月内发布了其移动应用程序的补丁版本，以保护其用户免受黑客攻击。

如果您没有运行Android和iOS官方应用商店上提供的最新版本的TikTok，则建议尽快对其进行更新。

5.OWASP Top 10 Proactive Controls V3中文版

OWASP十大主动控制2018是一组每个软件开发项目都应考虑和实现的安全技术列表。本文档是为开发人员编写的,以帮助刚接触安全开发的开发人员。

本文档的主要目标之一是提供具体的实践指导，以帮助开发人员开发安全的软件。这些控制机制应在软件开发的早期阶段积极应用，以确保能产生最大的效力。

十大主动控制

本列表按重要性排序，其中第1个列表项是最重要的：

C1：定义安全需求（Define Security Requirements）

C2：使用安全框架和库（Leverage Security Frameworks and Libraries）

C3：安全的数据库访问（Secure Database Access）

C4：数据编码与转义（Encode and Escape Data）

C5：验证所有输入（Validate All Inputs）

C6：实现数字身份（Implement Digital Identity）

C7：实施访问控制（Enforce Access Controls）

C8：保护所有的数据（Protect Data Everywhere）

C9：实施安全日志记录和监控（Implement Security Logging and Monitoring）

C10：处理所有错误和异常（Handle All Errors and Exceptions）

原文链接地址：web浏览器的新版本，以解决一个关键的0day漏洞，该漏洞已被用于目标攻击。

然而，有关该漏洞及其利用的详细信息却很少。据Mozilla周三发布的安全公告称，目前所知甚少的是，这是一个类型混淆错误，它位于浏览器SpiderMonkey JavaScript引擎的即时（JIT）编译器IonMonkey中。

来自美国网络安全和基础设施安全局（CISA）的警告指出，该漏洞可能被利用来控制受影响的系统。

Mozilla表示，它“意识到有针对性的攻击在野外滥用这一缺陷”。该漏洞编号为CVE-2019-17026，同时影响Firefox和Firefox ESR，后者被大型组织使用。

这些更新仅仅是在Mozilla发布Firefox72.0和FirefoxESR68.4后一天发布的，这两个版本本身就包括了一些安全缺陷的修复，尽管严重程度要低得多。

去年6月，Mozilla在两天内修补了两个0day补丁 。其他浏览器，特别是Chrome和Internet Explorer，在最近几个月也收到了0day的紧急补丁。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。