首页 > 宁静研究 > 宁静通报 > 宁静周报

信息宁静周报-2018年第16周

宣布时间 2018-04-25

一、本周宁静态势综述
2018年04月16日至20日共收录宁静漏洞47个，值得关注的是Belkin N750栈缓冲区溢出漏洞；Discuz! DiscuzX CVE-2018-10298跨站脚本漏洞；Spring Data Commons远程代码执行漏洞；Oracle WebLogic Server反序列化远程代码执行漏洞；Adobe Flash Player越界写任意代码漏洞。

本周值得关注的网络宁静事件是泰国运营商TrueMove H的用户数据泄露，约4.6万用户受到影响；最新的研究显示大量Android应用违规收罗儿童的隐私信息；研究人员称数百万个APP通过广告SDK泄露用户数据；CCleaner APT视察后续：攻击者通过TeamViewer进入Piriform的网络；研究人员发现数据公司LocalBlox的约4800万用户数据可果然访问。

凭据以上综述，本周宁静威胁为中。

二、重要宁静漏洞列表
1、Belkin N750栈缓冲区溢出漏洞

Belkin N750存在基于栈的缓冲区溢出漏洞，允许远程攻击者利用漏洞向proxy.cgi发送HTTP请求，可使应用法式崩�；蛑葱腥我獯�。

用户可参考如下厂商提供的宁静补丁以修复该漏洞：https://www.tenable.com/security/research/tra-2018-08
2、Discuz! DiscuzX CVE-2018-10298跨站脚本漏洞

Discuz! DiscuzX data/template/1_diy_portal_view.tpl.php未限制内容，允许远程攻击者利用漏洞注入恶意脚本或HTML代码，当恶意数据被检察时，可获取敏感信息或劫持用户会话。

用户可参考如下厂商提供的宁静补丁以修复该漏洞：https://laworigin.github.io/2018/04/22/Discuz-x-portal-Stored-XSS/
3、Spring Data Commons远程代码执行漏洞

Spring Data Commons处置SPEL表达式存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，以WEB权限执行任意命令。

用户可参考如下厂商提供的宁静补丁以修复该漏洞：https://pivotal.io/security/cve-2018-1273
4、Oracle WebLogic Server反序列化远程代码执行漏洞

Oracle WebLogic Server存在反序列化漏洞，允许远程攻击者利用漏洞提交特殊请求，以应用法式上下文执行任意代码。

用户可参考如下厂商提供的宁静补丁以修复该漏洞：http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
5、Adobe Flash Player越界写任意代码漏洞

Adobe Flash Player存在越界写漏洞，允许远程攻击者利用漏洞提交特殊文件，诱使用户解析，可以应用法式上下文执行任意代码。

用户可参考如下厂商提供的宁静补丁以修复该漏洞：https://helpx.adobe.com/security/products/flash-player/apsb18-08.html

三、重要宁静事件综述
1、泰国运营商TrueMove H的用户数据泄露，约4.6万用户受到影响

宁静研究人员Niall Merrigan发现泰国最大的4G移动运营商TrueMove H的一个Amazon AWS S3可果然访问，泄露的数据包罗用户的驾驶执照和护照等身份证件的扫描，数据总量为约4.6万条记录，共32GB。该数据库直到4月12日还可继续访问，随后该公司限制了其访问权限。TrueMove H声明称数据泄露事件影响的是其子公司I True Mart。

原文链接：https://securityaffairs.co/wordpress/71406/data-breach/truemove-h-data-leak.html

2、最新的研究显示大量Android应用违规收罗儿童的隐私信息

来自美国多所大学的隐私专家分析了Google Play商店的“为家庭而设计”（DFF）计划的5855个Android app，发现凌驾57%的app可能违反了儿童在线隐私�；しò福–OPPA）。约5%的app未经许可收集用户的位置和联系人信息，约19%的app与第三方共享敏感信息，约40%的app违反了旨在�；ざ降腉oogle服务条款。主要原因是大多数app使用的SDK通常自动收集用户信息。

原文链接：http://news.softpedia.com/news/thousands-of-android-apps-are-tracking-kids-without-parental-consent-520696.shtml

3、研究人员称数百万个APP通过广告SDK泄露用户数据

卡巴斯基实验室宁静研究员Roman Unuchek体现，数百万个APP使用了第三方的SDK，但并没有�；ふ庑┕愀鍿DK传输给第三方广告商的用户数据。这些数据包罗用户的个人身份信息如姓名、年龄、收入甚至电话号码和电子邮件地址等，这些数据通过HTTP以未加密的方式传输，很容易被拦截和修改，导致恶意软件熏染和勒索等。

原文链接：https://threatpost.com/millions-of-apps-leak-private-user-data-via-leaky-ad-sdks/131251/

4、CCleaner APT视察后续：攻击者通过TeamViewer进入Piriform的网络

Avast研究人员宣布CCleaner APT的后续视察结果。攻击者首先在2017年3月11日通过一个开发人员事情站上的TeamViewer进入Piriform公司的网络，其如何获取有效的登录凭据还不得而知。凭据日志文件，攻击者在当地时间凌晨5点进行渗透，其使用的有效荷载是为此次攻击而定制的ShadowPad。

原文链接：https://blog.avast.com/update-ccleaner-attackers-entered-via-teamviewer

5、研究人员发现数据公司LocalBlox的约4800万用户数据可果然访问

UpGuard的研究人员发现数据公司LocalBlox的一个AWS S3可果然访问，里面存储了该公司从Facebook、LinkedIn、Twitter和房地产公司Zillow等网站上收集的约4800万用户的果然资料。这些数据包罗用户的姓名、出生日期、实际地址、（LinkedIn）事情历史记录、部门用户的IP和电子邮件地址以及部门用户的个人净资产等信息。

原文链接：https://www.bleepingcomputer.com/news/security/data-firm-left-profiles-of-48-million-users-on-a-publicly-accessible-aws-server/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究

信息宁静周报-2018年第16周

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线