【安全帮】国泰航空隐私外泄 港人不受欧洲规例保护可民事索偿

Word+YouTube 视频，无感攻击技术被曝光

Cymulate 的研究团队发现了一种滥用微软 Word 的在线视频功能来执行恶意代码的方法。专家们使用嵌入在武器化的 Microsoft Office 文档中的 YouTube 视频链接创建了概念验证攻击。攻击者可以将其用于恶意的目的, 如网络钓鱼。他们发布了一个在线视频POC：当用户点击一个YouTube 视频（嵌入在一个恶意的office文档中），可执行 JavaScript 代码。而，这一切可以做到用户无感。在 Word 文档中嵌入视频时, 将创建一个 HTML 脚本, 并在单击文档中的缩略图时由 IE浏览器执行它。恶意文档将显示嵌入的在线视频与 YouTube 的链接, 同时伪装隐藏的 html/javascript 代码将在后台运行, 可能会导致进一步代码执行。

参考来源：

https://www.t00ls.net/articles-48284.html

利用这 3 个 bug 可完全控制 8 款 D-Link 路由器 多款 D-Link 路由器易受三个安全漏洞的影响，可被攻击者完全控制。这三个漏洞分别是一个路径遍历漏洞、以明文形式保护密码以及 shell 命令执行；攻击者可结合使用它们在设备上运行恶意代码。路径遍历漏洞的编号是 CVE-2018-10822，它可导致远程攻击者读取任意文件。它是由去年披露的某个bug 修复不正确产生的。这种缺陷可导致攻击者入侵存储着管理员凭证的密码文件夹。这就导致第二个漏洞即以明文形式存储密码的问题出现，其编号是 CVE-2018-10824。通过使用该路径遍历缺陷，攻击者能够访问密码文件夹饼查看包含敏感信息的配置文件。第三个漏洞是 CVE-2018-10823，它是一种 shell 命令注入，很可能导致认证用户在设备上执行任意代码。安全公告指出，“经认证的攻击者可通过将 shell 命令注入 chkisg.htm 页面 Sip 参数的形式执行任意代码，从而导致攻击者完全控制设备。”

参考来源：

http://codesafe.cn/index.php?r=news/detail&id=4504

  思科 Webex 在线视频会议软件曝命令注入漏洞

两名安全研究人员于近日发布消息称，思科的WebEx在线视频会议软件受到一个严重漏洞的影响，该漏洞可以被利用来提供权限并执行任意命令。

这个安全漏洞由来自Counter Hack的Ron Bowes和Jeff McJunkin发现，并被命名为“WebExec”。为了让公众能够更加清楚地了解该漏洞，两名安全研究人员还为它专门建立了一个网站（webexec.org）。该漏洞被追踪为CVE-2018-15442，在今年8月初通报给了思科，修复补丁在两个月内发布。思科与两名安全研究人员协商了漏洞的披露时间，并且没有证据表明它已经被用于恶意目的。

参考来源：

https://www.hackeye.net/threatintelligence/16964.aspx

苹果调查重庆广达 Apple Watch 工厂非法用工问题 据外媒报道，苹果正在对其供应链展开调查。此前，有劳工权利组织指控称，苹果一家供应商在中国非法雇佣学生，生产Apple Watch。上周，苹果启动了调查。此前，总部位于香港的权利组织Sacom指控称，苹果的台湾供应商广达电脑在重庆非法雇佣学生，生产Apple Watch。Sacom表示，今年夏季，该组织采访了重庆广达工厂的28名高中生。这些学生表示，他们是被老师派往该工厂进行“实习”，但从事的工作与生产线上的其他工人相同，经常还要加班或倒班。根据中国法律，这两种行为在学生实习中是违法的。11名学生表示，老师告诉他们，如果不完成实习就无法按时毕业。所有28名学生都表示，他们会加班以及倒班。

参考来源：

http://www.qianjia.com/html/2018-10/29_309591.html

国泰航空隐私外泄 港人不受欧洲规例保护可民事索偿 据香港《文汇报》报道，日前，国泰航空及其子公司港龙航空940万名乘客资料外泄，包括约25万个香港身份证号码，及约86万个护照号码等。对于有英国律师行声称，可透过欧盟相关条例协助受影响乘客向国泰航空追讨赔偿，有香港法律界人士指，持BNO(注：英国海外护照)港人不受到欧洲规例保护，但仍可向国泰提出民事索偿。

参考来源：

http://www.chinanews.com/ga/2018/10-29/8662390.shtml

多种 NSA 黑客 工具 已被用于攻击航空航天和核能行业

根据卡巴斯基实验室安全专家的说法，有攻击者正在利用NSA黑客工具DarkPulsar、DanderSpritz和Fuzzbunch来感染俄罗斯、伊朗和埃及50多家机构所使用的Windows Server 2003和2008系统。受感染的易受攻击服务器被广泛应用于航空航天和核能等行业，尤其是那些拥有大型IT和研发部门的机构。卡巴斯基实验室的安全专家Andrey Dolgushev、Dmitry Tarakanov和Vasily Berdnikov 在分析报告中写道：“ShadowBrokers（影子经纪人）在2017年3月公布了一大堆被盗数据，其中就包括两个框架：DanderSpritz 和 FuzzBunch。”

参考来源：

https://www.hackeye.net/securityevent/16882.aspx

日本 9 家银行将试用富士通技术进行区块链结算 IT巨头富士通（Fujitsu）29日宣布，包括瑞穗银行(Mizuho Bank)和三菱ufj银行(MUFG Bank)在内的九家日本银行使用其技术试验一个基于区块链的银行间结算系统。据悉，该试验项目将使用定制数字货币来实现小规模交易的低成本转账。该测试旨在评估技术的性能、安全性和现实的可行性等方面。

参考来源：

https://www.bianews.com/news/flash?id=23419

关于安全帮

安全帮，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。