一周安全头条

行业动态 政策法规 儿童个人信息保护

行业动态 量子加密 日本

8月25日，日本政府计划加速其量子密码技术的研究和开发，以保护高度机密信息免受网络攻击，并力争2025年实用化。日本政府希望在2025年实现量子加密在日本的普及，并将研究如何使用现有的光纤网络。总务省将在8月底出示的2020年度预算概算要求中，预申请15亿日元（约合人民币1亿元）研发经费。日本设想未来的通信网络，通过卫星，允许在与外国领导人的视频电话会议和机密外交信息交流中使用加密技术。

http://uee.me/aXLwr

行业动态 致命自治武器 人工智能 微软 亚马逊

行业动态 漏洞奖励 Edge浏览器

行业动态 微软 恶意软件 系统更新

近日，微软官方证实，未受保护的服务器无需用户互动即可在网络上传播病毒与恶意软件这一传言。随后，微软警告用户应立即更新 Windows 10 操作系统，以免受关键漏洞危害。该公司表示，未受保护的服务器可在网络上自发传播病毒和恶意软件，无需用户授意。开启自动更新功能的 Windows 10 设备已受到保护。受影响 Windows 版本包括 Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2012、Windows 8.1、Windows Server 2012 R2 等，Windows XP 不受影响。

http://uee.me/aXLzH

行业动态 销售纠纷 McAfee Dixons

近日，安全公司McAfee对英国零售商Dixons以违反销售协议发起诉讼，表示造成了自己3,000万英镑的损失，并且Dixons正在和赛门铁克进行销售洽谈。Dixons表示，由于在一次微软更新中，造成McAfee的杀毒软件在自己销售的Windows 10S系统上无法正常运作，甚至会导致系统崩溃，而McAfee也未及时修复该漏洞，因此他们无法销售这批电脑。Dixons表示自己不应对此负责。

http://h5ip.cn/Usm2

融资并购 特权管理

美国特权访问管理公司Remediant近日获得A轮融资1,500万美元。Remediant的特权管理方式基于一种及时使用的机制：即特权账户只在使用的时候生成，在使用完成后移除。

http://h5ip.cn/DwL8

融资并购 终端安全 VMware Carbon Black

近日，VMware计划收购基于云的终端安全厂商Carbon Black，总价达21亿美元。另一方面，VMware同时表示了自己下一步计划将收购Pivotal Software，进一步创建现代化的企业级应用安全能力。

http://t.im/hps5

调查报告 应用程序保护 F5 Labs 市场

调查报告 网络安全保险

近日，Research and Markets发布报告《网络安全保险——全球市场展望（2017-2026）》（Cyber Security Insurance - Global Market Outlook）。根据报告显示，2018年全球网络安全保险市场规模为41.9亿美元，预计到2026年将达到350.7亿美元，年复合增长率为26.6%。

http://uee.me/aXLvC

漏洞补丁 联想 提权漏洞

近期，Pen Test Partners (PTP) 的研究人员发现，联想电脑中预装的Lenovo Solution Centre(LSC)存在一个提权漏洞，且自2011年以来就一直存在。该漏洞被标记为CVE-2019-6177。根据联想的安全公告，Lenovo Solution Center的03.12.003版本（已不再进行技术支持）中存在一个提权漏洞。攻击者可利用其将日志文件写入系统敏感位置，从而触发提权。联想在2018年4月终止了对Lenovo Solution Center的技术支持，并建议客户使用Lenovo Vantage或Lenovo Diagnostics。虽然该产品已不再受到技术支持，但大多数联想笔记本电脑都安装了该软件。

http://uee.me/aXLzN

漏洞补丁 杀毒软件Bitdefender 2020

近日，SafeBreach实验室的研究人员发现免费杀毒软件Bitdefender 2020存在严重安全漏洞。攻击者可以利用该漏洞加载未签名的代码触发权限升级。据悉，该漏洞可以通过加载一个任意的无符号动态链接库（DLL）来利用。该漏洞的存在主要是由于缺乏代码完整性保护（CIG）机制。攻击者可以利用这个漏洞获得系统访问设备，该服务的可执行文件由BitDefender签名，如果攻击者找到了在此过程中执行代码的方法，就可以冒充应用程序白名单，导致产品安全问题不能及时被发现。除了冒充白名单和获得系统特权之外，攻击者还可以在每次加载服务时不断加载和执行恶意有效负载。研究人员于2019年7月17日向Bitdefender网站报告发现该漏洞。Bitdefender承认了这个漏洞，并最终在2019年8月14日修复。

http://uee.me/aXLvU

漏洞补丁 Steam 提权漏洞

近日，研究人员Vasily Kravets公布了新的Steam客户端的零日漏洞，这是一种特权升级漏洞，将威胁超过 9600 万用户。Kravets称，攻击者可以利用 Steam 客户端服务的 NT AUTHORITY \ SYSTEM 特权，通过运行可执行文件实现特权升级。据专家解释，此方法使用了 BaitAndSwitch，这是一种为了赢得 TOCTOU（检查时间/使用时间）而将链接和 oplock 的创建相结合的技术。黑客利用Steam游戏、Windows应用程序或操作系统本身的漏洞获得远程代码执行权限，并在权限提升之后使用 SYSTEM 权限运行恶意负载。

http://uee.me/aXLw9

漏洞补丁 HTTP/2

近日，Kubernetes发布了更新，修复了HTTP/2中的数个漏洞。这几个漏洞在本月早期由Netflix和Google研究者公开，会导致DoS攻击。

http://h5ip.cn/PxMS

恶意软件 卡巴斯基 CamScanner 安卓应用

近日，卡巴斯基的安全研究人员发现了一个名为CamScanner的带有恶意代码的安卓应用，该应用已经在Google Play上被下载了超过1亿次。该应用的恶意代码版本最早在预装在中国的安卓手机上被发现，该代码可以从应用中的其他加密文档中获取并执行更多恶意模组。卡巴斯基表示，在最新的版本中，该代码已经被移除，但是考虑到不同机型、系统对应的版本不同，部分应用中可能依然存在该代码。

http://h5ip.cn/FSVQ

数据泄露 Hostinger 网站托管

近日，全球知名网站托管商Hostinger 发布公告称， 8月23日发现安全漏洞，数据服务器遭到未经授权访问，这可能已经影响了1400万 Hostinger客户。据官方公告此次泄露的数据库包括用户的注册邮箱、散列密码、用户名、真实姓名、家庭住址以及手机号码等。这个在立陶宛成立的托管商为全球 178 个国家地区的3000万用户提供托管服务, 此次约半数用户信息遭到泄露。基于安全考虑，目前该公司已经将受影响的1400万用户重置密码，但是客户的其他信息已被泄露，且没有补救措施。

http://uee.me/aXLwK

数据泄露 信用卡信息 万事达

近日，德国有近9万个万事达 (Mastercard) 信用卡用户的信息，一度出现在网络上。万事达公司对此已经做出反应。据报道，德国一个网络论坛19日出现任何人都能打开的Excel表格，上面列出近9万名德国万事达信用卡用户的信息。这些所泄露的资料全部都是来自参与了万事达信用卡奖励计划 “Princeless Specials” 用户的信息，其中包括姓名、邮箱地址、信用卡号码的前两位数及最后四位数，有的还包括用户住址和手机号码。事后，万事达公司官方宣布，暂时关闭对德国开放不到两年的 “Princeless Specials” 平台，并表示，公司对待个人隐私非常严肃，会全面调查泄密原因，并强调该事件与平台的支付系统没有关系。

http://uee.me/aXL2b

数据泄露 Imperva WAF

近日，全球领先安全厂商Imperva宣布发生信息泄露事件，造成部分客户的敏感信息外泄。这起事件主要影响了Imperva的WAF产品；被泄露信息包括电子邮件地址、2017年9月15日注册以后的用户的hash后的密码、以及API密钥和SSL证书。Imperva暂时没有透露泄露原因，同时建议WAF用户修改密码、配置SSO、启用双因子验证、生成并上传新的SSL证书、并且重置密钥。

http://h5ip.cn/BfaV

数据泄露 表单劫持 Magecart组织 支付信息

近日，研究者发现80个Magecart组织攻破的电商网站，大量用户的信用卡信息被泄露给攻击者控制的服务器，大部分受影响网站都是在摩托车、高端奢侈品的知名品牌。该组织在电商网站中植入JavaScript代码，从而实时截取支付信息并传送到攻击者自己的服务器。研究者表示，受影响的80个网站中大部分都运行了过时的Magento CMS，从而存在不经认证即可上传以及远程代码执行的漏洞。

http://h5ip.cn/nxTL