【安全帮】特斯拉：找出漏洞就送Model 3

新型计算机病毒 Vjworm 来袭，兼具蠕虫和远控木马功能 网络安全公司Cofense于上周发文称，他们已经发现了一种被称为“Vengeance Justice Worm（Vjworm）”的新型计算机病毒。这种病毒被证实能够以多种形式给受感染系统造成破坏，包括信息窃取、拒绝服务（DoS）攻击和自我传播等。Cofense表示，Vjworm实际上结合了蠕虫病毒（Worm）和远程访问木马（RAT）的能力，在最近的网络钓鱼活动中使用与银行业务相关的诱饵。 除了具有多重破坏性之外，Vjworm还是公开可用的。也就是说，即使是低水平的黑客也可以使用它来攻击任意组织。

参考来源：

https://www.hackeye.net/threatintelligence/18563.aspx

Systemd 曝出三个漏洞 绝大部分 Linux 发行版易受攻击 Linux 系统与服务管理工具 Systemd 被曝存在 3 大漏洞，影响几乎所有 Linux 发行版。Systemd 是 Linux 系统的基本构建块，它提供了对系统和服务的管理功能，以 PID 1 运行并启动系统的其它部分。目前大部分 Linux 发行版都以 Systemd 取代了原有的 System V。安全公司 Qualys 近日发布报告称其发现 Systemd 中存在 3 个安全漏洞，并且这些漏洞已经存在 3 到 5 年时间。

参考来源：

https://www.oschina.net/news/103615/3-vulnerabilities-in-systemd

谷歌：将清理违反短信、通话日志许可政策的 App 据美国科技媒体9to5 Google报道，为应对Google+上的隐私漏洞，谷歌公司近日宣布推出“Project Strobe”项目，来限制第三方访问用户数据的权限。在Android设备上，只有默认客户端才可以请求短信或通话日志许可。与此同时，谷歌还宣布，将在近期清理Play Store上违反政策的应用。在大多数情况下，谷歌希望在Android上限制短信和通话日志许可，分别仅对短信和呼叫应用开放。用户仍可使用第三方客户端，但其他用途将受到限制，以防止数据泄露。

参考来源：

https://www.cnbeta.com/articles/tech/808701.htm

特斯拉：黑客如找出旗下汽车软件漏洞 将获赠 Model 3 据彭博社报道，特斯拉近日表示，如果网络安全研究人员可以侵入特斯拉汽车并找到漏洞，那么公司可以给他们赠送一辆Model 3轿车。网络安全公司趋势科技（Trend Micro）举办的的春季竞赛Pwn2Own Vancouver会邀请安全研究人员曝光网页浏览器以及企业软件中的漏洞。而今年首次在竞赛中新增了汽车类别，也就是特斯拉最新推出的Model 3。特斯拉在2014年推出了悬赏寻找汽车软件漏洞的项目，将奖励那些发现并上报漏洞的研究人员。这种形式在科技行业非常普遍，但汽车领域却不常见。由于越来越多的车辆会连接到互联网，这就使得它们很容易受到黑客攻击，所以这种悬赏项目会在汽车行业开始盛行。

参考来源：

https://www.secrss.com/articles/7842

广为使用的 PremiSys 门禁系统 被曝存在严重的硬编码后门 据外媒报道，被公立院校、政府、以及财富 500 强企业广泛使用的 PremiSys 门禁系统，近日被曝出存在硬编码后门。其实早在去年年底的时候，Tenable Research 的一安全分析师，就已经在一套名为 PremiSys IDenticard 的访问控制系统中，发现了一个硬编码的后门。该软件用于未员工创建身份识别信息（ID badges）和远程管理读卡器，以便对建筑内各个部分的访问权限进行管理。

参考来源：

http://hackernews.cc/archives/24715

欧盟启动 15 个免费开源软件项目的漏洞奖励计划 2019 年 1 月，欧盟将启动其针对开源软件项目的 FOSSA 漏洞奖励计划。据报道，FOSSA 计划涵盖欧盟所使用的 15 个免费开源产品， 共设立 14 个具体的漏洞奖励项目，包括 Filezilla、Apache Kafka、Notepad++、PuTTY 以及 VLC Media Player 等。项目主要在知名漏洞众测平台 HackerOne 和 Intigriti/Deloitte 进行。FOSSA 项目最早设立于 2014 年，到 2017 年延长了 3 年。本次漏洞奖励计划的最高单项奖金达到  90.000,00 英镑。

参考来源：

https://paper.tuisec.win/detail/912030dafa68e0e

英国法律将要求所有色情网站在 4 月份开始验证用户年龄 去年英国立法机关根据“数字经济法案”引入了年龄验证法，经过几次延迟后，该法现已定稿，将于4月生效。这项法律实现了政府的计划，即让英国成为上网最安全的地方，但它也带来了一些严重的问题。法律将要求任何超过三分之一内容是色情内容的网站，安全验证访问者的年龄是否达到18岁或以上。如果他们选择不核实或不够彻底地进行核实，那么政府可以强制互联网服务提供商封锁网站，并在可能的情况下对网站罚款或关闭网站。

参考来源：

https://www.cnbeta.com/articles/tech/808147.htm

关于安全帮®

安全帮®，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。