【安全帮】Git中的远程代码执行漏洞已被修复 多个工具受影响

索尼 BRAVIA 智能电视机曝多个安全漏洞，无需账号密码即可实施攻击 据统计，目前全球联网的智能电视机估计已达到7.6亿台。和大多数物联网设备一样，智能电视机也包含始终在线且高性能的图形处理器（GPU），而这恰好某些恶意软件（尤其是恶意软件挖掘恶意软件）寻找的目标之一。在上周，FortiGuard Labs就公开披露了三个影响到索尼BRAVIA智能电视机的高严重程度漏洞：一个堆栈缓冲区溢出漏洞、一个目录遍历漏洞，以及一个命令注入漏洞。这些漏洞存在于索尼的一款名为“Photo Sharing Plus”的专属应用程序中。

参考来源：

https://www.hackeye.net/threatintelligence/16606.aspx

Git 中的远程代码执行漏洞已被修复 多个工具受影响 据外媒 BleepingComputer  报道 ，Git项目组于前两天公布了一个在 Git 命令行客户端、Git Desktop 和 Atom 中发现的任意代码执行漏洞，这是一个比较严重的安全漏洞，可能会使得恶意仓库在易受攻击的计算机上远程执行命令。当Git使用 –recurse-submodules 参数来克隆仓库时，该命令会将URL翻译为一个选项，然后可以使用该选项在计算机上进行远程代码执行。当运行 “git clone –recurse-submodules” 时，Git 会解析 .gitmodules 文件中的 URL 字段，然后将其作为参数传递给 “git clone” 子进程。如果URL字段是一个字符串，并使用短划线开头，这个 “git clone” 子进程将会把 URL 翻译为一个选项。这可能导致用户运行 “git clone” 时，会执行 superproject 中的任意脚本。

参考来源：

https://www.oschina.net

超 3 万台印度路由器遭挖矿软件劫持：利用浏览器产出门罗币 近日，安全公司Banbreach发布一份报告称，在过去一个月内， 印度境内受到恶意挖矿软件劫持的路由器在短时间内已经增长了一倍，截止 10 月5 日，黑客已经破解了全国超过3 万台路由器。 Banbreach通过跟踪互联网流量并使用公共IP地址监测，发现有45%的被攻击路由器位于印度人口密度最低的地区。被植入浏览器的恶意软件为CoinHive，黑客利用它调用用户电脑的浏览器来挖门罗币。有报道称， 目前所有感染 CoinHive 的电脑能在一个月内产出25 万美元。 这次攻击并非印度第一次遭遇恶意挖矿软件，就在上个月，有媒体爆出印度地方政府 网站 就已成为黑客的目标，超过119个印度网站被植入了CoinHive。

参考来源：

https://www.cnbeta.com/articles/tech/775023.htm

FB 被曝收集儿童信息 多个保护组织呼吁关闭相关应用 多家儿童和消费者保护组织表示，Facebook通过Messenger Kids应用非法收集少年儿童数据。Campaign for a Commercial-Free Childhood（CCFC）和其他保护组织上周都要求美国联邦贸易委员会（FTC）调查这款以儿童为中心的消息应用是否违反《儿童网络隐私法保护法》（COPPA）。这些组织认为，Facebook在没有获得儿童父母允许的情况下违法收集了他们的信息。 投诉 信显示，Messenger Kids并没有满足COPPA的要求，因为它并没有努力确认开设帐号并获取数据的人的确是儿童的父母。他们表示，有的人可以在不证明年龄或身份的情况下开设全新的虚假儿童帐号。Facebook上周三回应称，他们尚未对投诉信进行评估。该公司曾经表示，不会在Messenger Kds中投放广告，也不会出于营销目的而收集数据，但他们的确会收集一些运营这项服务所必须的数据。

参考来源：

http://tech.sina.com.cn/i/2018-10-08/doc-ihkvrhpt0311190.shtml

中国进一步扩大网络安全法规 中国公安部最近公布了《 公安机关互联网安全监督检查规定 》，这项规定进一步扩大了执法部门自去年网络安全法推行以来所拥有的权力。新的《规定》将于 11 月 1 日起实施，针对了 ISP、IDC、CDN 以及各类通信服务和新闻网站，在加强网络安全的名义下要求这些服务商提供远程访问和技术支持服务，并允许执法机构远程复制相关信息，不配合的将会面临惩罚。《规定》要求：执法机构可以进入营业场所、机房、工作场所；查阅、复制与互联网安全监督检查事项相关的信息；开展现场监督检查或者远程检测，可以委托具有相应技术能力的网络安全服务机构提供技术支持。

参考来源：

https://www.solidot.org/story?sid=58147

  “ 间谍芯片 ” 事件后续：五家科技公司三天跌掉 5000 亿元市值 苹果和亚马逊本周三个交易日大概跌掉约 5000 亿元市值，拖累全球最大科技指数纳斯达克创下半年来最大单周跌幅。Super Micro、联想、中兴等分别在美国和香港上市的科技公司虽然相比之下市值下跌绝对值不算多（210 亿元），但各自的跌幅却是从 10% 到 50% 不等。这种跌势主要跟彭博商业周刊本周一篇 长篇报道 有关。彭博援引匿名美国国家安全部门官员的话称，在由中国分包方制造的 Super Micro 服务器主板上，被发现植入了一枚米粒大小的恶意芯片，这将使植入方有能力黑进服务器并获得敏感数据和信息。Super Micro 、苹果、亚马逊是报道中主角之一。联想和中兴则被认为曾大量购买了 Super Micro 的产品。

参考来源：

https://www.secrss.com/articles/5528

育碧“土豆”服务器遭 DDoS 攻击：《奥德赛》受牵连 《 刺客信条：奥德赛 》终于迎来了正式发售，但不幸的是，育碧的服务器遭受了多次DDoS攻击，这意味着这款系列新作的玩家们不得不面对令人沮丧的连接问题。在育碧售后支持的官方推特账户上，公司确认曾经历过“一系列DDoS攻击”，并表示这些攻击导致部分游戏出现延迟或连接问题。育碧旗下的游戏并不是此次受DDoS攻击影响的唯一受害者。Square Enix的MMO《最终幻想14》也受到了影响。游戏官方网站的更新证实，《最终幻想14》正在遇到“技术难题”，玩家应该会遇到断线以及访问，发送和接收数据的问题。开发商目前正在调查这种情况，并且正在部署“对策”，但据社交媒体报道，目前仍然存在不稳定的网络连接问题。

参考来源：

https://www.3dmgame.com/news/201810/3746693.html

关于安全帮

安全帮，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。