BUF早餐店| 微软修复了 56 个安全问题； Reddit 用户比特币被盗； 支付宝由于

天冷了，早餐吃个热气腾腾的馒头吧。 暖胃暖心！

Buffer大家早上好，今天是2018年1月11日星期四，天气随机，气温偏低。 大家注意保暖。 今天的BUF早餐主要包括：微软周二修复日解决56个安全问题，其中一个是0day漏洞； Dell EMC 修复了数据保护应用程序中的三个 0-day 漏洞； 2017年物联网僵尸网络C&C服务器数量翻了一番； 合作伙伴 Mailgun 遭遇数据泄露，导致 Reddit 用户的比特币被盗； Electrum 比特币钱包中的漏洞已修复； 关于保护问题，苹果表示，中国大陆地区的iCloud服务将交由国内公司运营。

请参阅以下详细信息：

【国际时事】微软周二修复56个安全问题，包括一个0day漏洞

本周二是微软的例行维修日。 此次，微软修复了56个安全问题，并针对Adobe Flash和芯片漏洞发布了特别的安全建议。 它还发布了针对 Office 应用程序的深度防御更新。

值得注意的是，微软的修复包括一个 0-day 漏洞补丁。 该漏洞（CVE-2018-0802）是一个内存损坏漏洞，攻击者可以利用该漏洞在受害者的个人电脑上执行代码，主要存在于旧版本的Office公式编辑器组件中。 此修复是通过从公式编辑器中删除一些功能来实现的。

此外，Mac版Outlook的Mailsploit漏洞和Adobe的信息泄露漏洞（CVE-2018-4871，主要涉及带外读取）也已修复。 详情请参考微软发布的安全更新公告。 [来源：bleepingcomputer]

Dell EMC 修复了数据保护应用程序中的三个 0-day 漏洞

近日，戴尔易安信告知用户，其Avamar Server、NetWorker Virtual Edition和Integrated Data Protection Appliance产品存在三个0-day漏洞，攻击者可利用这些漏洞完全接管目标系统。

Avamar Installation Manager组件存在漏洞，主要涉及SecurityService中的认证绕过； UserInputService中的任意文件获取授权和文件下载授权。 戴尔已在 ESA-2018-001 中发布了解决方案，拥有 Dell EMC 在线支持凭证的客户可以获得更新。

这三个漏洞中，CVE-2017-15548最为严重，可被远程攻击者利用，绕过身份验证，获取系统root权限。 CVE-2017-15549 漏洞可被经过身份验证的低权限攻击者利用，将恶意文件上传到服务器。 CVE-2017-15550 是一个路径遍历漏洞，经过身份验证的低权限攻击者可以利用该漏洞获取服务器上的任意文件。

受影响产品主要包括：Avamar Server 7.1.x、7.2.x、7.3.x、7.4.x、7.5.0； NetWorker 虚拟版 0.x、9.1.x、9.2.x； 集成数据保护设备 2.0。 [来源：安全事务]

物联网僵尸网络 C&C 服务器数量在 2017 年翻了一番

据 Spamhaus 组织统计，2017 年用于管理僵尸网络的 C&C 服务器数量达到 943 台，是 2016 年 393 台的两倍多，僵尸网络 IP 总数也增长了 32%。

黑客更喜欢使用域名并租用VPA系统（即购买并架设自己的服务器）进行攻击，而不是入侵另一台服务器并利用它进行攻击或使用被入侵的IP地址。 统计数据还显示，Pony 恶意软件已被重新激活。 Pony 是一种信息窃取木马，可以从受感染的设备中获取密码，甚至可以选择性地分发其他恶意软件。

在僵尸网络涉及的所有C&C服务器中，.com和.pw是最常用的域名。 此外，通过美国域名注册网站Namecheap注册域名的C&C僵尸网络服务器占比超过25%。 [来源：bleepingcomputer]

【数据安全】

合作伙伴 Mailgun 遭遇数据泄露，导致 Reddit 用户的比特币被盗

Reddit 已确认其电子邮件提供商之一 Mailgun 已遭到入侵，导致用户个人资料及其相关的加密货币帐户遭到黑客攻击。

攻击者使用通过第三方提供商发送的密码重置电子邮件来破坏 Reddit 帐户。 一些 Reddit 用户还报告说，他们的比特币现金小费账户已被清空。

然而，Reddit 表示，攻击者“无法访问 Reddit 的系统或 Reddit 用户的电子邮件帐户”，并且只有不到 20 名用户被确认受到影响。

Reddit 在 12 月 31 日收到了一些关于密码重置电子邮件的报告，这些电子邮件是在未经帐户所有者许可的情况下发起和完成的。 调查显示，恶意行为者以 Mailgun 为目标并获得了对 Reddit 密码重置电子邮件的访问权限。

Reddit 表示已采取控制措施，以确保类似事件不再发生。 Mailgun 目前还在识别其电子邮件帐户遭到入侵的员工，并已解决该问题。 相关人员表示，此次黑客攻击影响不到 Mailgun 整体客户的 1%。 [来源：信息安全]

【终端安全】

Electrum 比特币钱包中的漏洞现已修复

近日，知名比特币钱包Electrum发布补丁修复了2.6-3.0.3版本出现的JSON-RPC协议交互漏洞。

漏洞发现者表示：当electrum虚拟光驱运行时，服务器上不同虚拟主机的人可以通过本地RPC端口轻松进入electrum钱包。 尚未发现允许攻击者访问钱包和窃取比特币的身份验证或其他安全措施。 此外，即使钱包有密码保护，攻击者也可以窃取交易地址和其他相关信息，篡改 Electrum 账户设置比特币失窃事件，最终导致钱包被进一步利用。

更新提示说：更新 Electrum 钱包。 另请注意，在打开钱包的同时浏览其他网站是不安全的。 如果网站没有密码保护，或者设置的密码很容易被破解，那么钱包信息就有可能被盗。

知名比特币论坛Bitcointalk.org提醒，Electrum用户请尽快升级至最新版本，升级前最好不要使用钱包。 [来源：黑客阅读]

【国内新闻】

网信办就“支付宝年费事件”约谈阿里巴巴负责人

今年年初，支付宝公布了用户年度“个人账单”，却惹来了不小的麻烦。 原因是在账单的首页，有一行极其细小的字样，“我同意《芝麻酱服务协议》”，并已帮助用户选择了“同意”，协议条款涉及“您允许芝麻信用收集您的信息”。

这件事被律师发现并发在微博上，一时间被众多网友转发，大家普遍关心的是个人信息是否存在泄露风险。 发微博的律师表示：支付宝此举不仅涉嫌侵犯用户的知情权和选择权，而且所谓的《芝麻酱服务协议》中的很多条款耐人寻味，存在用户被侵权的风险。信息被泄露。

针对此事，国家互联网信息办公室网络安全协调局近日约谈了支付宝（中国）网络技术有限公司、芝麻信用管理有限公司相关负责人。网络安全协调局指出，支付宝、芝麻信用收集、使用个人信息的方式不符合刚刚出台的《个人信息安全条例》国家标准精神，违反了《个人信息保护条例》的承诺倡议”他们不久前签署；要严格按照《网络安全法》要求，加强对支付宝平台的全面排查，开展专项整治比特币失窃事件，采取有效措施，防止类似事件再次发生。 【来源：新浪科技】

因用户信息保护问题，苹果表示中国大陆的iCloud服务将交由国内公司负责运营

Apple于1月9日在其支持网站上发表声明，宣布iCloud（中国）将于2018年2月28日起由中国公司贵州云上运营。去年生效的中国网络安全法要求存储中国用户数据在国内的服务器上。 苹果表示，“此举将帮助我们继续提高 iCloud 服务的速度和可靠性，并遵守中国法规。”

苹果表示，对于国家或地区设置为“中国”的Apple ID，其关联的iCloud服务的运营将被转移，用户将可以使用这些服务以及通过iCloud存储的所有数据（包括照片、视频、文档、备份等）将受新的 iCloud（贵州云上运营）条款和条件的约束。 用户需要同意iCloud（由云上贵州运营）的条款和条件才能继续使用iCloud（中国）。 如果不想使用云上贵州运营的iCloud（中国）服务，用户可以前往，说明iCloud账户将从2018年2月28日起停用。[来源：Solidot]