【10.21】安全帮每日资讯:苹果警告使用旧版iOS设备的用户立即升级;甲骨文一次性修补219处漏洞-IOTA

您的位置：网站首页 行业动态 【10.21】安全帮每日资讯:苹果警告使用旧版iOS设备的用户立即升级;甲骨文一次性修补219处漏洞

【10.21】安全帮每日资讯:苹果警告使用旧版iOS设备的用户立即升级;甲骨文一次性修补219处漏洞

阅读量：3642116 2019-10-21

安全帮?每日资讯苹果警告使用旧版iOS设备的用户需立即升级否则下月初将发生严重故障
据苹果官方公告使用旧版iOS设备的用户需要立即升级系统 , 否则设备将从 11月3日起发生位置及时间日期故障。对多数用户来说这个问题并不会产生什么影响 , 而那些发布时间在2012年或更早的iOS设备就会受到此故障影响。这个问题实际上与GPS全球定位系统的翻转有关 , 所以会影响用户设备的GPS定位以及基于GPS获取的时间日期。如果受影响的设备在下月初仍然未升级系统的话，则会导致设备无法获取正确的GPS定位信息以及时间日期出错。时间和日期出错又会影响到系统很多依赖时间的应用或服务 , 如iCloud无法正确同步或邮件应用无法获取新邮件。更严重的是如果用户没有在下月初前升级则无法直接更新系统，因为时间出错后苹果系统的校验会无法正确完成。到时候用户只能选择通过AppleiTunes将设备重置或还原，执行这个步骤时苹果会直接将其升级为最新版的系统。参考来源：https://www.landiannews.com/archives/65475.html
卡巴斯基：中国已成物联网攻击的最大来源地近日，卡巴斯基研究报告显示，针对物联网设备的攻击频率正迅速增加。2019年前半年，卡巴斯基建立的一个蜜罐网络（networkof honeypots）观测到了1.05亿次针对物联网设备的攻击，这些攻击分别来自276000的不同的IP地址。相比之下，2018年上半年只有1200万次攻击。据了解，尽管大多数物联网攻击不是非常复杂，但此类攻击通常是悄无声息的。通常来说，直到受害者设备成为僵尸网络的一员，受害者几乎不会察觉其设备已被入侵。专家表示，Mirai及其变体仍然是物联网攻击中最常见恶意软件，占所有感染案例的39%。而感染物联网设备的方法多种多样，包括蛮力（brute-forcing）破解设备密码、利用各种不同设备中发现的未修补漏洞等。卡巴斯基指出，物联网攻击的前三大来源国分别是中国（30％）、巴西（19％）与埃及（12％）。参考来源：https://www.easyaq.com/news/2147307323.shtml
为了保证选票没问题，微软推出“投票机漏洞悬赏项目”无论是 2016 年美国总统大选还是 2014 年的印度大选期间，投票机都成了众人关注的焦点，其完整性、透明度及安全性广受质疑，因此投票机之殇也成了许多选民心中挥之不去的阴影。最近几年选民们开始变得越来越失望，他们不再相信任何投票系统，即使是有各种专家的背书。为了要在透明度和安全性间取得平衡，今年 5 月份微软推出了一款名为 ElectionGuard（竞选保镖）的免费开源软件开发包（SDK），试图完成整个竞选投票过程的端对端验证。据了解，微软这套 ElectionGuard SDK 可以整合进投票系统，其设计初衷就是“完成投票过程的端对端验证，同时将投票结果开放给第三方组织进行安全验证，此外还能方便选民确认自己那一票是否起了作用。”
参考来源：
https://www.leiphone.com/news/201910/PWwuf7LvhlKbEJjE.html
甲骨文一次性修补219处漏洞，包括一处CVSS 10分漏洞！据外媒报道，近日甲骨文发布了大量安全补丁，用于修补23种产品中的219处漏洞。黑客可在未授权的情况下远程利用超过140个漏洞。其中，Fusion Middleware的安全补丁数量最多，有37个。而MySQL则有34个补丁、Java SE有20个补丁。据了解，CVE-2018-14721是此次更新中最严重的漏洞，其CVSS v3得分为10分（满分为10分）。该漏洞存在于甲骨文NoSQL数据库的jackson-databind Java库组件中，将影响该数据库19.3.12之前的版本。其他受影响的产品包括建筑和工程补丁产品、PeopleSoft、零售应用程序、系统风险产品、数据库服务器、虚拟化产品、电子商务套件、企业管理器、金融服务应用程序、食品和饮料应用程序、策略自动化产品、Siebel CRM、供应链产品、GraalVM、酒店应用程序、健康科学应用程序、支持工具，以及JD Edwards。参考来源：https://www.easyaq.com/news/2147307326.shtml
Realtek Wi-Fi 芯片驱动漏洞能触发内核的缓冲溢出内核的一个潜在高危漏洞允许附近恶意设备利用 Wi-Fi 信号触发崩溃或完整控制机器。漏洞位于支持 Realtek Wi-Fi 芯片的 RTLWIFI 驱动内，当一台有 Realtek Wi-Fi 芯片的设备在恶意设备的无线电范围内，漏洞能触发内核的缓冲溢出。漏洞利用可能导致操作系统崩溃或允许黑客完整控制计算机。漏洞可以上溯到 2013 年发布的 Linux kernel 3.10.1。只要你使用 Realtek (RTLWIFI)驱动并启用了 Wi-Fi ，无需受害者的任何操作，漏洞能近距离远程触发。开发者已经递交了补丁，预计会在未来几天或几周整合到内核。使用 Realtek Wi-Fi 芯片的 Android 设备可能也受到影响。参考来源：https://www.solidot.org/story?sid=62285
最新报告称黑客正利用WAV音频文件隐藏挖矿恶意代码根据最近几个月连续发布的两个安全报告，黑客正在尝试利用WAV音频文件来隐藏恶意代码。这项技术称之为隐写术（steganography），是一种将信息隐藏在另一种数据介质中的技术。在软件领域，steganography也简称为“stego”，用于描述将文件或文本隐藏在其他格式的文件中的过程。例如，将纯文本隐藏在图像的二进制格式中。事实上黑客已经使用隐写术有十多年了，通常不会用来破坏或者感染设备，而是作为一种转移方法。隐写术允许隐藏恶意代码的文件绕过将不可执行文件格式（例如多媒体文件）列入白名单的安全软件。参考来源：https://www.cnbeta.com/articles/tech/901109.htm
美国伯克利投票禁止面部识别伯克利成为加州第三个美国第四个禁止政府使用面部识别技术的城市。在得到广泛支持之后，市议会投票一致通过了议员 Kate Harrison 今年初提出的法规。麻省的 Somerville 是美国东海岸第一个禁止政府使用面部识别的城市，西海岸的湾区有三座城市，旧金山和奥克兰以及现在的伯克利。新的法规还遵守了加州的一项州法律——A.B. 1215，从 2020 年 1 月 1 日起警察暂停三年在佩戴的摄像头上采用面部识别技术。参考来源：https://www.solidot.org/story?sid=62289

快到碗里来吧！扫码或者点击阅读原文了解详情↓↓↓。

本文资讯内容来源于互联网，版权归作者所有，如有侵权，请留言告知，我们将尽快处理。

安全帮?大讲堂经典回顾
大讲堂—浅析《信息安全保障》
大讲堂—速读《网络安全法》
大讲堂—分布式流处理平台：KAFKA
大讲堂—网络协议安全，这些你不可不知
大讲堂—当威胁检测技术跟上了AI的脚步
大讲堂—企业求生之道：如何有效进行安全风险管理
大讲堂—逆向分析技术知多少？
大讲堂—关于Spark的那些事
大讲堂—浅析Hadoop！
大讲堂—MyBatis简介与入门
大讲堂—LSTM算法原理及应用