幽靈安全漏洞 Spectre1.1 新變種曝光 源於投機執行與緩衝區溢出；Facebook 首次因數據泄密醜聞遭罰款

內容提要：

1. 幽靈安全漏洞 Spectre1.1 新變種曝光 源於投機執行與緩衝區溢出

2. Facebook 首次因數據泄密醜聞遭罰款：金額 66.4 萬美元

3. Intel 推出季度安全更新計劃：首波 13 個補丁含幽靈變種

4. 涉泄露用戶行蹤 大眾點評整改

5. 京東回應斐訊事件嚴禁0元購宣傳推廣

6. 微軟7月補丁修復15個產品的53個漏洞

7.以色列一交易所遭攻擊 1350萬美元虛擬貨幣被盜

8. iOS 11.4.1想防止被美警方破解,卻留下了新漏洞

9. 日本一男子因使用惡意JS軟體而被判刑

1.幽靈安全漏洞 Spectre1.1 新變種曝光 源於投機執行與緩衝區溢出

來自麻省理工的 Vladimir Kiriansky 和諮詢公司 Carl Waldspurger 的兩位安全研究人員，剛剛發布了一篇揭露臭名昭著的「幽靈」（Spectre）安全漏洞新變種的論文，因其會產生投機性的緩衝區溢出。論文中，兩人解釋了他們新發現的這個變種（Spectre 1.1 / CVE-2018-3693）可以如何攻擊和防禦。對於處理器廠商來說，年初被曝光的該漏洞、以及後續陸續出現的多個其它變種，著實令業界感到頭疼。

2.Facebook 首次因數據泄密醜聞遭罰款：金額 66.4 萬美元

Facebook將因為劍橋分析（Cambridge Analytica）數據泄露事件而面臨第一次處罰——來自英國的66.4萬美元罰單。英國信息委員會辦公室（ICO）周二宣布對Facebook罰款，66.4萬美元是處罰金額上限。他們認為Facebook缺乏強有力的隱私保護措施，而且忽視了有望阻止劍橋分析操縱輿論的重要信號，其中也包括2016年英國脫歐公投。在與Facebook進一步溝通之後，此項處罰可能會有所調整。ICO通常不會披露初步結果，但他們表示，此次之所以這麼做，主要是因為公眾對此十分關注。該機構還承諾將在10月份更新內容。Facebook首席隱私官艾琳·伊根（Erin Egan）在周二的聲明中承認，Facebook本應採取更多措施調查跟劍橋分析有關的聲明，並在2015年採取行動。

3.Intel 推出季度安全更新計劃：首波 13 個補丁含幽靈變種

Intel的處理器也要開始定期打補丁了？Intel在美東時間周二發布了為應對潛在安全風險的緩解措施，共計13項。包括針對Spectre v1（幽靈漏洞，繞過邊界存儲）變體的補丁以及本地用戶可以從內存泄露中讀出BIOS和管理員密碼的BUG（CVE-2017-5704，影響4~7代酷睿平台）等。幽靈v1的變體是首次公開，允許惡意代碼在Intel計算機上利用推測執行來潛在地改變函數，並將其他線程中返回的地址通報給被劫持的應用程序。TheReg確認，這是Intel季度安全補丁的第一次集中發布，也就是說，Intel今後將按照季度為單位，集中進行安全補丁的釋放操作。

4.涉泄露用戶行蹤 大眾點評整改

據報道，用戶用微信登錄大眾點評後，會將用戶關係鏈與微信等通訊錄中的好友捆綁，並將用戶在酒店、餐廳等的簽到信息、點贊信息或地址信息分享給這些平台的好友。7月9日，大眾點評就暴露用戶行蹤一事在官方微博發表聲明，稱打造好友關係鏈類產品功能的初衷，是希望有分享意願的用戶能夠通過大眾點評分享在生活中獲得的美好體驗。現在發現這類功能設計在用戶體驗方面存在考慮不周的地方，將著手整改。

5.京東回應斐訊事件嚴禁0元購宣傳推廣

斐訊0元購合作方聯璧金融被查後，大量0元購的用戶今日赴京東總部維權。京東對此回應稱，京東僅是斐訊硬體產品的銷售平台，從未與斐訊相關的互聯網金融平台聯璧金融存在任何形式的合作，也從未引導消費者至該平台進行投資理財。京東表示，由於斐訊「0元購」的參與方聯璧金融已經被公安部門立案調查，京東將會配合相關部門督促斐訊妥善解決好用戶投訴及售後問題，最大可能避免消費者的損失。

6.微軟7月補丁修復15個產品的53個漏洞

近日，微軟發布了2018年7月安全補丁，其中包括53個漏洞安全更新，這些漏洞影響了Windows、Internet Explorer（IE）、Edge、ChakraCore、.NET Framework、ASP.NET、PowerShell、Visual Studio、Microsoft Office和Office Services及Adobe Flash Player。據悉，在這53個漏洞中，17個被評為嚴重，34個高危，1個中危，1個低危。

7.以色列一交易所遭攻擊 1350萬美元虛擬貨幣被盜

以色列加密貨幣交易所Bancor表示，一名罪犯從該公司盜走了價值1350萬美元的虛擬貨幣，其中大部分是以太幣。通過利用緊急協議，該公司設法凍結了另外1000萬美元的Bancor代幣——又稱BNT，限制了盜竊造成的損失。它稱，此次盜竊發生在一個用於部分合約的錢包中，目前調查人員仍在確定事件的細節。

8.iOS 11.4.1想防止被美警方破解,卻留下了新漏洞

蘋果發布了iOS 11.4.1系統正式版，引入了一種新的軟體機制，以阻止了執法部門所慣用的密碼破解工具。這款名為USB限制模式的工具可讓iPhone手機在屏幕鎖定一小時後無法訪問任何類型的第三方軟體。這樣，惡意第三方或執法機構就無法使用GrayKey等密碼破解工具來破解手機。然而，網路安全公司ElcomSoft的研究人員發現了一個漏洞，只要你將USB配件插入iPhone的Lightning埠，無論手機過去是否連接過該配件就可以重置一小時計時器。

9.日本一男子因使用惡意JS軟體而被判刑

使用Coinhive cryptominer惡意軟體而被判有期徒刑一年，該案件被認為是全球第一起加密劫持的刑事案件。他將Coinhive JavaScript庫嵌入一個遊戲外掛軟體中，並通過共90次下載為其帶來了月5000日元的收入。該軟體被黑客廣泛使用於挖礦及通過植入網頁入侵PC端，並且對使用者難以追蹤。

長按添加關注，為您保駕護航！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！