纵观全球态势，感知安全天下。悬镜安全精心筛选过去一周全球安全大事。

1、JS程序易受ReDoS攻击

JavaScript网络应用程序和服务器很容易受到名为“正则表达式拒绝服务”的漏洞攻击。如果攻击者向基于JavaScript的web服务器或app发送大量复杂的文本，而服务器或app又未能处理各种边界条件，就可以导致DoS攻击：整个app或服务器受阻，数秒或数分钟，因为服务器要进行分析和模式匹配。

这种漏洞早在2012年就已被发现，不过那时JavaScript，尤其是Node.js尚未像今日这般流行。2017年的研究表明 ，Node.js库和应用程序的漏洞中有5%是ReDos漏洞。而在上周的USENIX安全会议上，来自德国技术大学的两名安全研究人员对该问题进行了深度分析，展示了流行Node.js模块中的25种以前未知的漏洞，并且展示了他们设计的一种不会引发ReDoS攻击的漏洞检测方法。

利用该方法，他们对2846个流行的基于Node.js的网站进行了扫描，结果显示，有近12%具有至少1个ReDos漏洞。

原文链接：https://www.bleepingcomputer.com/news/security/javascript-web-apps-and-servers-vulnerable-to-redos-attacks/

2、飞利浦医疗数据产品爆出漏洞

根据本周发布的ICS-CERT警报称，飞利浦IntelliSpace心血管（ISCV）系列医疗数据管理产品中的漏洞（CVE-2018-14787）将允许攻击者升级特权和执行任意代码。

具有本地访问ISCV / Xcelera服务器的攻击者可以使用该漏洞获取管理访问权限，打开包含经过身份验证的用户具有写入权限的可执行文件的文件夹，执行泄露恶意软件、后门程序、勒索软件或任何其它类型的错误代码，以吸取各种机密的患者信息，包括医疗图像和完整的诊断细节。

如果系统未正确分区，也可进入网络的其它部分。受影响的产品是ISCV 3.1、Xcelera 4.1或更早版本。飞利浦称，补丁计划于2018年10月与ISCV版本3.2一起发布。

原文链接：https://threatpost.com/philips-vulnerability-exposes-sensitive-cardiac-patient-information/136669/

3、Ryuk勒索软件袭击全球

安全公司checkpoint称，Ryuk勒索软件在过去两周袭击了全球多个组织。Ryuk技术能力相对较低，但目前全球至少有三家公司受到该活动的严重打击，受感染公司已被加密了的数百台PC，存储和数据中心。一些组织支付了大金额赎金以便检索他们的文件，攻击者目前已经获得了超过640,000美元的赎金。

研究人员分析发现，Ryuk与HERMES有很多相似之处，包括加密单个文件的功能，加密文件使用的文件标记，文件标记的检查，白名单相似的文件夹，同一路径中编写window.bat的批处理脚本，使用类似的脚本来删除影子卷和备份文件，文件丢弃到磁盘上在名称和目的上类似。

这说明攻击者与朝鲜有关，但也可能是获得HERMES源代码。Ryuk专门用于定制攻击，加密方案设计为小规模的操作，只有关键的资产和资源在每个目标网络中被感染，并且由攻击者手动执行。

赎金票据有一高一低的两个支付金额范围的版本，这说明攻击者有不同级别的攻击。Ryuk采用AES-RSA进行加密，目前Ryuk无法解密。

原文链接：https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/

4、智能电源插头爆出新loT漏洞

McAfee ATR团队在物联网设备Wemo Insight智能插头中存在漏洞，Wemo Insight是Wi-Fi连接的电源插座。研究人员对Wemo Insight Smart Plug的研究导致在libUPnPHndlr.so库中发现了未报告的缓冲区溢出，该漏洞为CVE-2018-6692，允许攻击者执行远程代码以关闭或超载交换机。

该漏洞为潜在的攻击者创建了一个网关，可以危及整个家庭Wi-Fi网络。安全研究人员利用此发现的漏洞，控制了智能电视开启和关闭。并且已经向厂家Belkin报告了此漏洞。

原文链接：https://securingtomorrow.mcafee.com/mcafee-labs/insight-into-home-automation-reveals-vulnerability-in-simple-iot-product/

5、Ghostscript存在RCE漏洞

Google Project Zero的安全研究人员在Ghostscript中发现了一个关键的远程代码执行（RCE）漏洞，Ghostscript完全用C语言编写，是一个用于Adobe Systems的PostScript和PDF页面描述语言的开源解释器和在不同平台上运行的软件包，软件能够将PostScript语言文件转换为PDF，XPS，PCL，PXL等多种格式。

安全人员发现Ghostscript中存在可以绕过内置防止执行不安全或恶意的PostScript操作的dSAFER沙箱的漏洞。攻击者可以利用此漏洞向受害者发送恶意文件，一旦受害者用易受攻击的Ghostscript的应用程序打开，攻击者将完全接管目标系统，远程执行未经身份验证的任意命令。

US-CERT发布报告称，像ImageMagick图像处理库这样的应用程序会受到漏洞的影响，RedHat和Ubuntu在内的主要Linux发行版已确认它们也受到了影响。目前Ghostscript管理者Artifex Software尚未发布任何补丁来修复漏洞。

原文链接：https://thehackernews.com/2018/08/ghostscript-postscript-vulnerability.html

6、售卖个人信息牟利案件逐年上升

据中国之声《新闻纵横》报道，侵犯公民个人信息的案件数量逐年上升，形成了非法获取、加工、交易再用于实施犯罪的一条“黑灰产”链条。警方的统计数据显示，两年多来，各地查获的公民个人信息超过1400亿条，平均全国每个人有100多条信息泄露。 来自法院系统的统计数据也显示，侵犯公民个人信息的案件数量逐年上升。

侵犯公民个人信息罪在2015年11月1日开始实施的《刑法修正案（九）》中首次出现，2015年最后两个月，全国各级法院一审审结的侵犯公民个人信息刑事案件有7件，2016年全年326件，2017年1299件，是前一年的将近四倍，今年上半年已经一审审结887件，预计全年超过1600件。

原文链接：http://china.cnr.cn/yaowen/20180823/t20180823_524339396.shtml

悬镜，北京安普诺信息技术有限公司旗下基于DevSecOps【云+端】一站式安全加固解决方案的云主机安全品牌，由北京大学白帽黑客团队“Xmirror”主导创立，核心业务主要包括悬镜云卫士、云鉴漏洞扫描云平台等自主创新产品与政企安全服务，专注为媒体云、政务云、教育云等平台用户提供创新灵活的自适应主机安全综合解决方案。

悬镜安全 | 第五期 全球一周安全情报（0820-0826）相关推荐

1. 悬镜安全 | 第八期 全球一周安全情报（9.10-9.16）

   纵观全球态势,感知安全天下.悬镜安全精心筛选过去一周全球安全大事. 1.Veeam数据库泄露 研究人员在服务器上发现了一个拥有超过200GB数据的数据库,该数据库来自Veeam公司.Veeam是一家总 ...

2. 悬镜安全丨第三期全球一周安全情报（8.6-8.12）

   纵观全球态势,感知安全天下.悬镜安全精心筛选过去一周全球安全大事. Linux内核出现漏洞可触发远程DoS攻击 Linux内核版本4.9及以上出现了一个漏洞,该漏洞可能会被用来攻击网络工具包上的DoS ...

3. 悬镜安全：用开源的方式做开源风险治理

   随着数字化应用的高速发展,软件已被各行各业广泛应用,成为必不可少的一部分.近年来,全球范围内有关软件供应链安全的攻击事件层出不断,对个人.企业,甚至国家安全都造成了严重威胁.近期曝出的Apache l ...

4. 【云服务月刊】2018年第6期：阿里云MVP第五期发布，这么多行业大牛你Pick哪一个？...

   本期头条 阿里云MVP第五期发布,这么多行业大牛你Pick哪一个? 回顾阿里云的发展历程,阿里巴巴集团技术委员会主席王坚博士曾感慨"是阿里云的用户教会我们怎么做云计算的!".近十年 ...

5. “3D几何与视觉技术”全球在线研讨会第五期~隐式3D形状表示学习

   前几周跟大家分享了 3DGV 在线研讨会: "3D几何与视觉技术"全球在线研讨会(9月2日到12月16日) "3D几何与视觉技术"全球在线研讨会第二期 &quo ...

6. 楞严经悬镜 明• 憨山大师 ----读记

   楞严经悬镜 明·憨山大师著 师金陵全椒人也,姓蔡氏,父彦高,母洪氏:梦大士携童子入门,抱之遂有娠.及诞,白衣重胞,有异香,出家报恩忝笑岩,岩示以本分钳锤:后结茆北台龙门.一日粥罢经行,忽立定,不见身心 ...

7. 人物 | 悬镜安全宁戈：高山流水遇知音，湖畔筑梦中国心

   2022年3月22日,悬镜安全宣布完成B轮融资.三年前,悬镜的CEO子芽,这位未名湖畔的筑梦人,接受了安在的采访,那时的悬镜刚刚完成产品由十年磨一剑的前沿技术研究到商业化落地的打磨实践阶段.作为公司战 ...

8. 开放下载丨悬镜安全携手中国信通院发布《软件供应链安全白皮书（2021）》

   引言                                                                                <软件供应链安全白皮书(202 ...

9. 悬镜AI携手指尖安全《我是白帽子》系列活动进行中

   在BCS安全峰会来临之前悬镜AI携手指尖安全为一直支持悬镜AI 的粉丝们带来了一系列的福利活动,即日起在指尖安全官网和悬镜AI公众号皆可参与活动. 福利一览 福利一:BCS安全训练营免费学习机会 福利 ...

最新文章

1. 【配置映射】—Entity Framework实例详解
2. python 节气计算_python 生成 1900-2100 的二十四节气文件
3. Linux系统中df与du命令查看分区大小
4. sonar 报错日志分析（根据日志跟踪源码执行）
5. react 最佳实践_最佳React教程
6. ubuntu 修改和配置ip
7. 使用jQuery来实现一个简单的ajax请求
8. dreamweaver php代码提示框,PHP 5.4中的Dreamweaver CS5代码提示和语法错误
9. 图片hover且设置transform其父级border-radius失效
10. PCL visualizer
11. javascript之js实现简单的无缝轮播图（可调节方向）
12. 一个黑客的基本素养——社会工程学
13. 1688商品类目API接口-（item_cat_get-获得1688商品类目接口）
14. SQL数据库日志文件丢失，日志文件恢复的办法
15. NTP时间服务器安装配置详解
16. Unity制作UI翻页动画
17. QT QProcess 使用及实时输出回显
18. echarts实现地图飞线
19. React-native项目使用逍遥游模拟器运行
20. css 点击事件击穿

热门文章

1. linux 中copy软链接
2. 第一篇博客（不足之处还请多说教于我，感谢大家）关于STM32-TIM14定时器
3. 氢气行业市场现状 氢气竞争格局
4. python tan_Python tan() 函数 - Python 教程 - 自强学堂
5. 用 Windows Live Writer完美发布新浪、网易、blogcn、blogbus、cnblogs 博客2
6. Screaming Frog SEO Spider Mac(尖叫青蛙网络爬虫软件)
7. Dijkstra算法和Floyd算法对比分析
8. linux 7 删除mtab内容,centos7之文件搜索及sed文本处理
9. 三、我的/登录 栏制作《仿淘票票系统前后端完全制作（除支付外）》
10. nodeJS 中文API node.js 中文文档