一周安全头条（20191006-1012)

行业动态  开源收集平安联盟 IBM  McAfee

本周，多个企业结合公布开源收集平安联盟（Open Cybersecurity Alliance, OCA）成立，致力于成长开源平安手艺。该联盟由IBM与McAfee最初提出，并在OASIS（构造化信息尺度促进组织）下成立。该组织的目的是经由开源代码更自由地交流信息、看法、剖析以及编排响应。现在的企业平均会使用来自10家厂商的25个平安对象，OCA方针竖立一系列统一的和谈与尺度来确保这些平安对象可以协同工作。其他介入OCA的厂商包罗了Fortinet、CyberArk、CrowdStrike等。 [转载出处：www.ii77.com]

融资并购  长亭科技  阿里云

本周，长亭科技官方微信公家号公布，阿里云拟全资收购长亭科技。据官方透露，收购完成后，长亭科技品牌及团队均连结自力，持续连结自力运营，并在阿里云的手艺、资金、买卖的全方面支撑下拓展市场，持续为企业级用户供应收集平安解决方案。

融资并购  终端平安  VMWare  Carbon Black

VMWare周二公布本身完成对终端平安公司Carbon Black的全股收购，每股价钱26美金，总计21亿美元。在本次收购今后，VMWare将成立一个由Carbon Black的CEO向导的新部门。

http://1t.click/a8fw

申报调研  USB设备  数据加密

近日，加密驱动器制造商Apricorn的一份最新申报显露，尽管云存储鼓起，87%企业仍在使用USB驱动器，58%的公司和组织不使用端口掌握或白名单软件来治理USB设备的使用，而26%的用户不使用基于软件的加密。此外，只有不到一半的组织（47%）要求对存储在USB驱动器上的数据进行加密，然则有91%的员工透露公司要求他们必需使用加密的USB驱动器。该申报还暗示，云存储也不是万妙药。对将最敏感数据迁徙和存储到云上，跨越一半（57%）的公司和组织存在决心不足的问题。

申报调研  中老年网民  反欺诈  腾讯110

近日，腾讯110..发布最新的《中老年人反欺诈白皮书》，白皮书基于2019年上半年数据，面向中老年人收集反欺诈的专项清点与总结，目的是为恢弘中老年网民供应周全防骗常识及收集平安使用指南。白皮书显露，2019年上半年，腾讯110..共受理中老年人受骗举报量跨越2万次。97%受骗的中老年人曾遭资金损失，涉案金额从百元到数万元不等。诈骗受害人群岁数分布方面，45-50岁的70后群体受骗占比跨越65%，位居榜首；51-55岁的60后群体紧随厥后，占比跨越18%，同时该群体轻易落入子虚投资等圈套，人均受愚金额最大，最高受愚金额跨越10万元。

平安研究  macOS   Tarmac恶意软件

Confiant平安研究人员Taha Karim发现针对macOS用户的新恶意软件Tarmac（OSX / Tarmac）。该恶意软件的分发运动自2019年1月起头，但其时研究人员只发现了恶意payload Shlayer。在两周前发布的一份后续申报中，研究人员透露发现了Shlayer传染的第二阶段payload Tarmac。今朝只知道Shlayer在受传染的主机上下载并安装了Tarmac之后，Tarmac会收集有关硬件设置的具体信息，并将此信息发送到其号令和掌握办事器。然后Tarmac将守候新号令，然则因为C2办事器弗成用，是以研究人员无法确定其悉数功能。该恶意运动首要针对的是美国、意大利和..的用户。

平安研究  冲击对象  犯罪团伙

近日，FireEye发布最新研究申报，显露犯罪团伙FIN7在其冲击对象库中添加了两个新的成员-BOOSTWRITE和RDFSNIFFER。BOOSTWRITE是一个仅运行在内存中的释放器，其使用运行时从长途办事器获取的密钥来解密内嵌的payload，凭据研究人员的表述，他们剖析的一个样本是由有效的证书签名的。BOOSTWRITE会解密并加载两个payload的DLL，包罗CARBANAK后门和RDFSNIFFER。RDFSNIFFER能够使冲击者看管和窜改经由NCR公司的RDFClient竖立的正当保持。研究人员总结称新对象和手艺的引入表明FIN7正在络续成长以适应平安性络续增加的情况。

http://uee.me/cnYgF

破绽补丁  零日破绽  安卓系统 

近日，谷歌Project Zero的研究人员流露了安卓系统中的一处零日破绽（CVE-2019-2215），或将许可黑客完全接管受害者设备。现已有18种型号手机受到了影响，受到该破绽影响的设备包罗：Pixel 1、Pixel 1 XL、Pixel 2、Pixel 2 XL、华为P20、红米5A、红米Note、小米A1、OppoA3、Moto Z3、三星S7、三星S8、三星S9，以及Oreo LG系列手机。针对此次事件，三星方面证实，此次发现的平安破绽涉及几乎所有Galaxy旗舰机型。个中，包罗一个非常严重的破绽和三个被评为“高危”的破绽。总而言之，它们涉及到约21个平安问题，个中17个与三星“One”用户界面有关，4个与安卓有关，并透露会在第一时间进行修复。据有关人员介绍，编号CVE-2019-2215破绽首要有两种行使体式：一、诱使受害者下载恶意应用；二、将该破绽与Chrome浏览器中的破绽结合起来使用。

破绽补丁  Hadoop

比来Uber的软件工程师发现了一个Hadoop的严重破绽，该破绽会激发用户/组信息在保留和从fsimage中读入的时候激发溃逃。这个破绽在后续的Hadoop版本中已经被修复，然则未经修复的版本或者会因该破绽引起信息泄露等后果。

http://1t.click/a72Y

破绽补丁  iTerm2  长途代码注入

近日，Mozilla对开源号令行应用iTerm2进行了一次平安审计，究竟发现一个严重的长途代码执行破绽。冲击者能够行使该破绽，经由向用户的应用端发送特定编纂的返回究竟，实现长途代码注入冲击。Mozilla透露，选择iTerm2进行审计的原因，是因为iTerm2有macOS所不具备的自界说功能，又因为免费从而受到大量用户的喜爱；另一方面，因为其需要处理大量不被信任的数据，所以轻易成为冲击的进口。iTerm2于周三已经在最新版本中修复该破绽。

http://1t.click/a8gp

破绽补丁  Whatsapp  GIF动图

近日，Facebook旗下的即时通信对象Whatsapp被曝可行使一张简洁的GIF动图即可入侵该软件，即当用户在他们的图库中打开一个恶意GIF动图时，就可触发黑客冲击，造成用户小我信息、聊天记录等信息泄露。据悉，运行Android 8.1和Android 9系统的设备更轻易蒙受此类冲击。

破绽补丁  零日破绽  Windows Bonjour更新器

近日，平安公司Morphisec的研究人员发现，苹果iTunes和iCloud法式中存在零日破绽，许可冲击者行使BitPaymer勒索软件掌握Windows较量机，并逃避检测。据悉，该平安破绽位于Windows版iTunes附带的Bonjour更新器中，它经由零设置的收集通信和谈，可在后台静默运行并主动执行各类初级收集义务，包罗主动下载更新Apple软件。Apple事后紧要发布了Windows版iCloud 10.7、Windows版iCloud 7.14和Windows版iTunes 12.10.1，以解决该破绽。专家建议在系统上安装了iTunes或iCloud的Windows用户将其软件更新到最新版本以免受到冲击。

破绽补丁  福昕PDF阅读器  长途代码执行

近日，研究人员发现，福昕PDF阅读器（Windows版）存在8处破绽，或将影响跨越4.75亿用户。据悉，当用户接见恶意网站或打开恶意文件时，这些破绽均可在该软件中长途执行恶意代码。个中，最严重的破绽（CVE-2019-5031）位于JavaScript引擎交互历程中，许可黑客经由特制PDF文档触发，动员拒绝办事冲击。截止今朝，福昕软件已发布平安补丁，建议用户尽快安装。

http://uee.me/cnW4S

恶意冲击  Volusion  支出卡信息窃取

据zdnet新闻，黑客冲击了云托管在线市肆供应商Volusion的根蒂举措，并正经由传送恶意代码，记录和窃取用户以在线形式输入的支出卡具体信息。据称，跨越6500 家商号将受到影响。黑客成功冲击Volusion的谷歌云根蒂举措之后，点窜了一个ja vasc ript文件，并包含了记录在线表单中输入的卡具体信息的恶意代码。收集平安专家称之为Magecart冲击，诈骗者从网上市肆而不是 ATM窃取支出卡细节。这种类型的黑客冲击已经发生多年了，但在曩昔的两年里已经加剧了。在上周发布的一份申报中，RiskIQ称Magecart冲击已经达到巅峰，在曩昔几个月里，跨越 18000 个网站上发现了窃取卡信息的恶意剧本(被称为skimmers)。

http://rrd.me/eAmcF

平安研究  TLS流量指纹 浏览器

近日，卡巴斯基实验室发布的一项查询申报显露，黑客设法找到了一种点窜 Web 浏览器的方式，从而使被设计为平安且私有的TLS 流量将带有独一的指纹，以识别用户及其使用的电脑。据悉，黑客恶意点窜了 Google Chrome 和 Mozilla Firefox 的安装法式，让浏览器运行时包罗该特别的指纹功能。今朝，研究人员无法确定黑客若何以及何时进行点窜，然则黑客或者会在用户从正当起原下载安装法式时立刻进行点窜。

收集犯罪  Apple Card  信用卡盗刷

近日，苹果本年春季刚推出的号称绝对平安隐私的Alpple Card信用卡被用户举报在未丢失卡片的情形下，被异地盗刷。据悉，苹果为了包管该信用卡的平安性，在设计初期就免除了卡号，以及CVV码等信息，只保留了芯片和磁条。针对此事件，苹果官方透露，不清扫用户信息卡被人用其他设备克隆，进而导致了盗刷，最终究竟会需要进一步骤查。

http://rrd.me/eBRTM

数据泄露  俄罗斯  纳税信息

近日，研究人员发现，一个存有2000万条俄罗斯公民纳税记录的数据集群并未设置任何平安办法，所用接见者均可经由民众收集查察这些信息。据悉，此次事件中被露出的信息包罗纳税人姓名、地址、居留身份、护照号码、德律号码、税号、雇主姓名及其德律号，以及纳税额等。据有关人士透露，该数据集群已露出一年以上，但无法确认是否已有造孽分子获取数据。今朝该数据集群已经与民众收集断开保持。

隐私珍爱  人脸数据  不法获取  谷歌

近日，谷歌被曝陷入欺骗部门人群人脸信息的风浪中。据悉，谷歌合同工机要地锁定无家可归或许肤色较深的人群，并以价格5美元的代金券引诱方针，以获取他们的人脸数据，用来练习Pixel 4的人脸识别系统。谷歌合同工在接管《纽约每日新闻》采访时说，他们敷陈人们能够试玩一种雷同Snapchat的“自摄影游戏”，实际上偷偷记录下了他们的人脸数据。据一名谷歌的TVC（暂时工、供给商或合同工）声称，任仕达的主管稀奇命令他们不得透露他们在记录人脸数据。