freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

BUF早餐铺 | 雅虎数据泄露案和解金额达1.175亿美元;Mirai新变种加入更多物联网设备;微软四月修复74个漏洞
2019-04-11 07:00:58

各位Buffer早上好,今天是2019年4月11日星期四。今天的早餐铺内容主要有:雅虎就数据泄露案达成和解协议:金额达1.175亿美元;Mirai 新变种加入更多物联网设备;Firefox将会增加对网站指纹和加密货币挖矿脚本的保护;流行开发工具 bootstrap-sass 被修改植入后门;微软四月修复74个漏洞;澳法案强制要求企业安装“后门” ,中国外交部称坚决维护网络安全。

quick-and-easy-french-toast-2000x1125.jpg

雅虎就数据泄露案达成和解协议:金额达1.175亿美元

据路透社报道,由于遭遇史上最大数据泄密事件,雅虎接受了一项修改后的1.175亿美元和解协议,与本案的数百万受害者达成和解。这起案件在2013至2016年间导致大约30亿帐号受到影响,而雅虎则被控在披露此事的过程中反应过慢。本案涵盖1.94亿美国人和以色列人,大约涉及8.96亿帐号。新的和解协议包含至少5500万美元支付给受害者的实付费用和其它成本,2400万美元的两年信用监控费用,和高达3000万美元的法律费用,另有最多850万美元的其他费用。[来源:sina]

Mirai 新变种加入更多物联网设备

Palo Alto Networks 的研究人员报告了物联网僵尸网络 Mirai 的新变种,它加入了四种处理器 Altera Nios II、OpenRISC、Tensilica Xtensa 和 Xilinx MicroBlaze,这些处理器被广泛用于嵌入式系统,包括路由器、网络传感器、基带无线电和数字信号处理器。新变种还修改了用于通信的加密算法,以及新版的 TCP SYN 拒绝服务攻击。研究人员是在 Digital Ocean 位于荷兰数据中心的一台服务器上发现新变种的,该服务器还托管了利用 D-Link、Netgear、Huawei、Realtek、以及中国开发的 ThinkPHP Web server 框架漏洞的版本。[来源:solidot]

Firefox将会增加对网站指纹和加密货币挖矿脚本的保护

Mozilla近日宣布将会为Firefox浏览器引入几种新方式。正如此前在Bugzilla追踪器中BUG报告中所暗示的,Firefox将会增加对网站指纹和加密货币挖矿脚本的保护。Mozilla在官方博文中解释道:网站通过指纹脚本可以收集每位访客的硬件相关数据,这样即使用户清除了cookies也能在网络上追踪用户。这些信息包括处理器、内存容量等信息。而对于加密货币挖矿脚本,这在当前的互联网上的威胁已经越来越大。该脚本可以让你的计算机在后台进行挖矿作业,为其他人挖掘加密货币。这可能会耗尽系统资源并影响系统性能。为了解决这两个问题,Mozilla与Disconnect合作创建了黑名单,罗列了使用该脚本的域名站点,用户可以选择阻止其中一项或者完全阻止。目前该功能已经出现在Nightly通道的68版本和Beta通道的67版本中,目前默认情况下处于禁用状态,一旦通过测试提高可靠性和稳定性将会默认启用。[来源:cnbeta]

流行开发工具 bootstrap-sass 被修改植入后门

安全研究人员在官方的 RubyGems 库发现了后门版本的网站开发工具 bootstrap-sass。该工具的下载量高达 2800 万次[但这并不意味着下载的所有版本都存在后门,受影响的版本是 v3.2.0.3,研究人员呼吁用户尽可能快的更新,认为可能有数千应用受到影响。研究人员推测,黑客入侵了开发者的机器或窃取了开发者的凭证,然后通过开发者账号简单上传了一个后门版本。该后门允许攻击者远程执行代码。此类的供应链攻击正成为一个日益增长的危险。[来源:solidot]

微软四月修复74个漏洞

微软在今年4月的补丁修复日共修复了74个漏洞,其中有15个评级为“严重”,还有两个已经有在野利用实例。此次修复的漏洞涉及到.NET内核、Adobe Flash播放器、CSRSS、微软浏览器、Edge浏览器、Exchange服务器、图表组件、JET 数据库引擎、Office、Office SharePoint、微软脚本引擎、Windows、XML、开源软件、Windows管理员中心、Windows内核、Windows SMB Server等。具体的漏洞和补丁以及安全建议,可参考微软官方公告。[来源:bleepingcomputer]

澳法案强制要求企业安装“后门” 中国外交部:坚决维护网络安全

近日,多家澳大利亚媒体报道称,澳大利亚《通信和其他法律关于协助和准入的修正案2018》法案,强制要求通信企业为澳大利亚政府安装“后门”。多家国际网络公司对此表示严重关切,称该法案威胁到了澳大利亚及世界其他地区的网络安全。但此前,澳大利亚政府声称“绝不允许一个对他国政府负有义务的公司涉足澳通讯网络”,并以此为由禁止中国华为公司参与澳大利亚5G网络建设。对此,中国外交部发言人陆慷在4月10日的例行记者会上表示,澳一方面拿网络安全说事,另一方面自己却在危害网络安全,中方想知道澳大利亚政府对此作何解释。[来源:sina]

# 数据泄露 # 微软 # 雅虎 # Mirai
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者