【安全帮】SQLite被曝存在漏洞，所有 Chromium 浏览器受影响

网络安全公司 McAfee 或再遭出售 私募或超 42 亿美元接手 据外媒报道，据知情人士透露，私募公司Thoma Bravo正在就从德太投资（TPG）和英特尔手中收购安全软件公司McAfee的事宜进行初步讨论，收购价格远高于该公司在2016年时42亿美元的估值。这些人士说，谈判可能仍会破裂，预计不会很快宣布交易。由于讨论是私下的，他们要求不具名。McAfee由约翰·迈克菲（John McAfee）于1987年创立，为个人计算机和服务器开发网络安全软件，保护用户免受恶意软件和其他病毒的侵害。这种类型的计算机安全可防止对个人设备的攻击。最近，McAfee的业务扩展到移动设备和云计算，而这正是黑客迁移的地方。

参考来源：

https://new.qq.com/cmsn/20181215/20181215002028.html

美国防部检察长办公室发现导弹防御系统的网络漏洞 美国国防部检察长办公室（Office of Inspector General ，OIG）12月10日公布的一份审计报告显示，美国陆军、海军和导弹防御署（MDA，Missile Defense Agency）未能采取基本的网络安全措施来确保美国弹道导弹防御系统的信息不会落入不法之手。调查人员访问了五个管理弹道导弹防御系统及技术信息的地址，在公开发布的报告中，这些控制系统的名称被删除了。解密版的审计报告里提到“美国陆军、海军和MDA未能成功保护存储和传输导弹防御技术信息的网络及系统免受未经授权的访问和使用。这些缺陷可能让美国的对手绕过导弹防御能力，使美国容易受到导弹攻击”。

参考来源：

https://www.secrss.com/articles/7142

Cloudflare 疑因为恐怖组织网站提供 DDoS 保护服务遭抨击 据外媒报道，就在网络言论自由和温和政策比以往任何时候都更具争议期间，Cloudflare因为恐怖组织提供网络安全保护而面临指控。据悉，该机构被指至少有在为7个恐怖组织提供网络安全服务，对此一些法律专家认为这种情况可能会使其面临法律风险。Cloudflare面向市场提供了一系列对运营现代网站的重要服务，比如DDoS保护。这是一家宣称可以处理10%互联网请求的庞大组织，据称它还准备进行35亿美元的IPO。然而在周五，《赫芬顿邮报》指出，通过对大量有恐怖组织运营网络的审查以及与四名国家安全与反极端主义专家的合作，他们发现这些网站受到了来自Cloudflare的网络安全服务保护。

参考来源：

https://www.cnbeta.com/articles/tech/798909.htm

“脸书”涉泄 680 万用户照片，或面临 16 亿美元罚款 据外媒报道，美国社交网站“脸书”(Facebook)又出现安全漏洞，导致第三方应用软件获取用户未公开的私人照片，初步估计，有多达680万用户受影响。目前，欧洲隐私管制机构爱尔兰数据保护委员会已着手调查，“脸书”或因此被罚款超过16亿美元。14日，“脸书”公司发表声明说，“脸书”系统出现程序漏洞，导致大约1500个应用软件在今年9月13日至25日期间，能够获取用户未分享的照片。“脸书”表示，如果用户曾使用“脸书”账号登录第三方应用软件，并授权软件存取照片，那用户的私人照片可能已经外泄，其中包括没有公开分享的照片。

参考来源：

http://tech.caijing.com.cn/20181216/4546711.shtml

工信部：明年在全国正式提供手机卡异地销户服务 工信部已经要求三家基础电信企业最迟于2018年11月1日试行手机卡异地销户服务，2019年1月1日在全国正式提供手机卡异地销户服务。截至2018年11月1日，三家基础电信企业均已试行手机卡异地销户服务。目前，部分营业厅已开设此业务，还有部分营业厅已可以代用户申请办理异地销户。

参考来源：

http://www.nbd.com.cn/articles/2018-12-16/1282442.html

巴西 1.2 亿纳税人信息遭泄露 一台配置错误的服务器于未知的时间暴露了1.2亿巴西公民的纳税人身份证号(Cadastro de Pessoas Fisicas，简称CPFs)。巴西国民需要在开立银行账户、创建企业、纳税或获取贷款之前，先申请到CPF号码，号码会与所有者的个人和财务信息绑定，此类信息被泄露/公开，无疑是一种巨大的风险。根据InfoArmor的最新研究，2018年3月，一个Apache web服务器被发现配置不当，暴露了存储在其上的数据档案。默认情况下，Apache Web服务器返回名为index.html的默认文件的内容（如果存在）。如果该名称的文件不存在且目录列表已启用，它将显示所请求文件夹中包含的文件和文件夹，并允许用户下载。

参考来源：

https://www.hackeye.net/securityevent/17901.aspx

SQLite  被曝存在漏洞，所有 Chromium 浏览器受影响 SQLite 被曝存在一个影响数千应用的漏洞，受害应用包括所有基于 Chromium 的浏览器。据 ZDNet 报导，该漏洞允许攻击者在受害者的计算机上运行恶意代码，并在危险较小的情况下泄漏程序内存或导致程序崩溃。由于 SQLite 嵌入在数千个应用程序中，因此该漏洞会影响各种软件，包括物联网设备、桌面软件、Web 浏览器、Android 与 iOS 应用。如果底层浏览器支持 SQLite 和 Web SQL API，那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。Chromium 浏览器引擎支持此 API，这意味着像 Chrome、Vivaldi、Opera 和 Brave 等浏览器都会受到影响，而 Firefox 和 Edge 由于不支持此 API，因此不受影响。

参考来源：

https://www.oschina.net/news/102738/sqlite-bug-impacts-thousands-of-apps

关于安全帮®

安全帮®，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。