各位Buffer早上好,今天是2019年1月24日星期四。今天的早餐铺内容有:Adobe修复了Experience Manager中可能导致信息泄露的XSS漏洞;Linux APT包管理器中的严重缺陷可能导致远程黑客入侵;老旧软件会导致PC用户暴露在安全风险中;Google在Jigsaw提供测验栏目 测试用户发现网络钓鱼诈骗的能力;约三分之二的 DDoS 攻击指向通信服务提供商;欧洲国家聚焦网络安全和隐私保护问题。
以下请看详细内容:
Adobe修复了Experience Manager中可能导致信息泄露的XSS漏洞
近日,Adobe发布安全更新,修复了Experience Manager和Experience Manager Forms中大量可能导致信息泄露的XSS漏洞。其中,影响到Experience Manager的主要是一个“严重”级别的存储式XSS漏洞和一个“中等”级别的反射型XSS漏洞。据报道,Adobe暂未发现相关漏洞的在野利用实例,并在发布补丁的同时,提醒并催促管理员在30天内安装更新。更多更新消息可参考Adobe安全公告官网。[来源:securityaffairs]
Linux APT包管理器中的严重缺陷可能导致远程黑客入侵
Linux APT 包管理器是个广泛使用的程序,用于处理 Debian、Ubuntu和其他Linux发行版上软件的安装、更新和删除等行为。近日,有安全专家披露 Linux APT 包管理器中存在严重远程代码执行漏洞。由于存在漏洞的版本在HTTP重定向期间没有正确清理某些参数,远程中间人攻击者可以注入恶意内容并诱导系统安装被恶意更改的软件包。目前,Linux APT包管理器更新版本(1.4.9)已经发布,相关用户可尽快更新。[来源:thehackernews]
老旧软件会导致PC用户暴露在安全风险中
安全公司Avast近日发布一份调查报告,报告发现Windows系统的个人计算机中有55%的软件都是旧的或者过时的。由于没有及时更新或修复漏洞,这些软件可能导致用户面临安全风险。样本数据显示,安装Adobe Shockwave、VLC Media Player和Skype的用户中超过94%都没更新到最新版本;而没有更新Windows系统的样本电脑达到数百万。此外,老旧软件还会导致系统崩溃或者数据丢失等问题。这份报告的数据来源于1.63亿台计算机样本的调查分析,同时也结合了2018年全球PC平台数据情况。[来源:bleepingcomputer]
Google在Jigsaw提供测验栏目 测试用户发现网络钓鱼诈骗的能力
据外媒SlashGear报道,网络钓鱼应该成为每个人使用互联网时的一个关注点,但发现恶意附件和链接并不总是那么容易。在Jigsaw和Google推出的新测验中,其专门推出问题来测试用户发现网络钓鱼诈骗的能力。包含八个问题的测验首先要求用户想出一个名字和一个电子邮件地址 - 无论是真实的还是假的 - 为其增添一丝真实感。完成后,用户将接受一系列场景,向他们显示各种电子邮件及其包含的链接。最终,用户需要检查消息,以寻找他们正在查看的可能是网络钓鱼尝试的线索。[来源:cnbeta]
约三分之二的 DDoS 攻击指向通信服务提供商
据网络安全公司 Nexusguard 2018年第三季度的 DDoS 威胁报告,该季度有66.5%的 DDoS 攻击指向通信服务提供商,攻击者通过使用非常小的垃圾流量来污染数百个IP前缀的多种IP地址。Nexusguard 技术官 Juniman Kasman 称,犯罪者比起大而明显的方式,更倾向于用更小型且分散的方式将垃圾流量注入,使得攻击绕过检测。而这可能使通信服务提供商错过正在进行的大规模 DDoS 攻击。[来源:cnbeta]
欧洲国家聚焦网络安全和隐私保护问题
第11届国际网络安全论坛22日在法国北部城市里尔拉开帷幕,论坛的主题为“定制安全和隐私”。超过8500名欧洲网络安全官员、专家及从业者与会。欧盟委员会负责安全事务的委员朱利安·金在开幕式上表示,网络安全不仅仅指信息安全和信息系统安全,还包括国家、社会等广义层面的安全。“面对错综复杂的网络攻击和虚假信息,我们有必要进一步保护真实信息、揭露虚假信息。”他建议在欧盟层面建立一个网络安全机构和配套的互联网管辖网络,以更好地应对网络安全方面的挑战。[来源:cac]