各位Buffer早上好,今天是2019年1月17日星期四。今天的早餐铺内容有:WordPress 对运行过期 PHP 版本的网站发出警告;Secure Copy Protocol 曝出有 36 年历史的漏洞;美SEC数据库遭入侵 犯罪分子非法牟利410万美元;纽约隐私法案强制企业披露消费者数据使用情况;建筑工地上的大型机械设备容易被黑客控制;vCard处理进程存在漏洞,微软表示4月份将修复。
以下请看详细内容:
开源内容管理系统 WordPress 发布新安全举措,如果网站仍然运行旧的 PHP 版本,将在管理面板显示警告。WordPress 在初期阶段对版本号低于 5.6.x(5.6 或更低)的版本显示警告,警告会包含一条 WordPress 支持页的链接,提醒网站管理员如何更新 PHP 版本。WordPress 是最流行的内容管理系统,大约四分之一的网站运行的是 WordPress。而 66.7% 的网站仍然运行已经终止支持的 PHP 版本。[来源:zdnet]
安全研究人员公布了 Secure Copy Protocol(SCP)的五个漏洞,其根源可追溯到 1983 年,至今有 35 年历史。漏洞影响 OpenSSH scp、PuTTY PSCP 和 WinSCP,其中 WinSCP 已经修复。漏洞允许恶意 SCP 服务器悄悄的纂改客户端机器上的任意文件。安全研究人员解释说,SCP 基于的 RCP 允许服务器控制发送的文件,如果没有仔细核查客户端最终下载的文件可能与用户想要的文件不同,攻击者可以覆写用户的 .bash_aliases 文件,在用户执行例行操作如罗列目录时攻击者可以执行任意命令。[来源: solidot]
在当地时间星期二举行的新闻发布会上,新泽西州检察官克莱格·卡蓬尼托(Craig Carpenito)、SEC、美国联邦调查局和美国特勤局联合公布了一起国际股票交易犯罪活动,犯罪分子入侵了美国证券交易委员会(以下简称“SEC”)的EDGAR企业文件系统,并利用内幕信息非法牟利410万美元。据路透社称,犯罪团伙利用获得的非公开信息进行股票交易,从美国、俄罗斯和乌克兰非法牟利410万美元。犯罪分子获得了157份企业财报,其中部分财报是“测试文档”。[来源:cnbeta]
纽约近日修订了通用商务法律,增加了一个名为“2019知情权法案”(S00224)的议案,规定消费者有权知晓个人信息被企业搜集的情况以及披露给第三方的使用情况。此外,这项新规定还强调企业之间共享消费者信息的过程要透明化。法令规定,隐私权是基本人权,受到美国宪法保护,各企业应当遵守法律。此外,法令也详细列举了企业在何种情况下应当披露消费者数据使用以及披露的具体条目。这堪称数据保护立法领域的一项新进展。[来源:bleepingcomputer]
趋势科技(Trend Micro)的两名研究人员近日演示了如何成功入侵并控制建筑工地上的起重机进行各种任务。实验表示,当施工现场唯一能控制起重机的发射器关闭后,起重机处于“停止”状态。但是安全专家通过笔记本电脑、一些无线电硬件、特制的攻击脚本就能成功控制起重机,不仅开动起来而且还能进行起重作业。如果黑客利用这种方式完全可以肆意破坏建筑工地。这主要是因为这些机械设备使用的RF通信协议存在漏洞。Saga、Juuko、Telecrane、Hetronic等多款设备都受到影响。[来源:securityaffairs]
安全研究员@ hyp3rlinx披露了vCard文件处理过程中的0-day漏洞并发布PoC代码。攻击者可利用这个漏洞,制作显示为无害链接的恶意VCF,当用户点击该链接时,可以触发恶意代码执行。不过这个漏洞的利用条件是需要用户交互。该研究员已经通过趋势科技的Zero Day Initiative(ZDI)漏洞披露计划向微软报告。微软表示将在4月份修复。[来源:securityaffairs]