头条：美国弹道导弹防御系统未通过网络安全审计

TOP5

12月17日全球信安资讯

1

美国弹道导弹防御系统未通过网络安全审计

>>>>

信源：securityaffairs

美国国防部监察长上周发布的一份报告显示，美国的弹道导弹防御系统（BMDS）缺乏足够的网络安全保护。

2014年3月14日，美国国防部首席信息官宣布国防部计划实施国家标准与技术研究所（NIST）的安全控制措施，以提升系统的网络安全。

根据国防部的一份新报告，四年多后的情况令人担忧，BMDS设施未能实施该标准要求的安全控制措施，如多因素身份验证，漏洞评估和修复，服务器机架安全，保护存储在可移动媒体上的机密数据，加密传输的技术信息，物理设施安全性，如摄像头和传感器。BMDS设施的运营商没有进行常规评估来验证网络安全水平。

2

SQLite中Magellan RCE缺陷可能影响数十亿应用程序

>>>>

信源：securityaffairs

腾讯Blade安全团队的安全专家在SQLite数据库软件中发现了Magellan RCE关键漏洞，它将数十亿个易受攻击的应用程序暴露给黑客。

该远程代码执行漏洞被跟踪为“Magellan”，可能允许远程攻击者在易受攻击的设备上执行任意操作，泄漏程序内存或导致应用程序崩溃时出现dos状态。

SQLite被广泛应用于所有现代主流操作系统和软件中。数百万的应用程序使用SQLite进行数十亿次安装。Magellan可能会影响物联网设备，macOS和Windows应用程序。Chromium也受到了影响。

SQLite版本3.26.0修复了Magellan漏洞，谷歌发布了Chromium版本71.0.3578.80修复该问题。

目前还没有看到滥用Magellan漏洞的攻击。专家建议用户和管理员必须尽快更新其系统和易受攻击的应用程序。

3

Facebook Photo API漏洞暴露680万用户照片

>>>>

信源：securityaffairs

Facebook宣布，与Photo API相关的漏洞可能允许第三方应用访问用户的照片。该漏洞可能已经影响了多达680万用户和876个开发者构建的高达1500个应用程序。

据Facebook称，是由Facebook内部团队发现的，该漏洞暴露了用户照片12天，即2018年9月13日至9月25日。该漏洞影响了使用Facebook登录并允许第三方应用访问其照片的用户。

Facebook通过其帐户中的提醒通知受影响的人。

4

Twitter修复了未授权访问私信的漏洞

>>>>

信源：bleepingcomputer

研究人员发现，在向Twitter授权某些应用程序时，影响权限对话框的漏洞会将私信暴露给第三方。

当需要PIN完成授权过程而不是基于OAuth协议的应用程序时，会触发此缺陷。专家发现，一些权限（例如访问私信的权限）对Twitter用户仍然是隐藏的。

Terence Eden发现了这个问题，并通过HackerOne漏洞赏金平台向Twitter进行了报告。该披露为他赢得了2940美元的奖励。根据Eden的说法，该漏洞存在于官方Twitter API处理即使没有服务授权也可以由应用程序开发人员访问的密钥和机密的方式。

12月6日，Twitter解决了这个问题。

5

韩国将开发AI防止语音网络钓鱼

>>>>

信源：zdnet

随着语音网络钓鱼攻击增加74％，韩国金融监管局（FSS）和SK电信将合作开发人工智能以防止此类攻击。

FSS将提供有关金融欺诈的数据，而电信运营商将建立一个人工智能系统，在怀疑他们收到语音网络钓鱼呼叫时会发出警报。

FSS表示，今年上半年语音网络钓鱼造成的损失达1802亿韩元（1.59亿美元），比一年前增加了73.7％。

现有的过滤方法基于某些关键字的使用来检测网络钓鱼攻击。FSS表示，新的AI系统将根据环境检测网络钓鱼攻击。

该服务预计将在明年上半年推出。

声 明

本文内容由国外媒体发布，不代表聚锋实验室立场和观点。