BUF早餐铺 | 微软与Adobe发布安全更新；谷歌发布Chrome安全更新；Edge与Safari浏览器存在安全风险

各位Buffer早上好，今天是 2018 年 9 月 13 日星期四，农历八月初四。今天的早餐铺内容有：微软与 Adobe 发布多个安全更新；谷歌发布 Chrome 安全更新，取消网址的“安全”标识；瑞士数据管理公司 Veeam 泄露 4.45 亿条用户数据；僵尸网络 Mirai 和Gafgyt 最新变种目标瞄准企业网络；Edge 与 Safari 浏览器存在安全风险，合法 URL 可被注入恶意内容；江苏一高校2000多学生信息遭泄露，疑被企业用于偷逃税款。

以下请看详细内容：

微软与 Adobe 发布多个安全更新

微软在 9 月 的修复日一共修复了 61 个漏洞，其中 17 个评级为严重，43 个评级为重要，1 个评级为普通。修复的产品包括 Windows、Edge、IE浏览器、Office、ChakraCore、.NET Framework、Microsoft.Data.OData、ASP.NET 等。在补丁发布之时，只有四个是已经“公开通知”的，其余漏洞则很可以已经在野利用。在 17 个严重漏洞中，Windows RCE 漏洞（CVE-2018-8475）、Windows ALPC 提权漏洞（CVE-2018-8440）、Scripting Engine 内存崩溃漏洞（CVE-2018-8457）以及 Windows Hyper-V 中的两个严重远程代码执行漏洞影响较大，用户应尽快修复。

同时，Adobe 共修复了 Flash 播放器和 ColdFusion 中的 10 个漏洞，其中有 6 个为高危，可被攻击者利用实现远程执行任意代码。[来源：thehackernews]

瑞士数据管理公司 Veeam 泄露 4.45 亿条用户数据

近日，安全研究人员在网上发现了一个公开的数据库，其中存储着超过 200 G 的数据，但没有任何安全防护。200 G 的内容包含瑞士智能数据管理服务商 Veeam 的大量用户信息，包括姓名、邮箱地址、居住国等。此外，市场份额、用户类型、企业规模、IP 地址、用户代理等企业信息也暴露无余。数据具体暴露的时间尚不清楚，但研究人员表示，自己 9 月 5 日才发现该数据库，而存储数据库的服务器 IP 在 8 月 31 日就已经有人搜索。目前 Veeam 已经发布公告，正在调查事件详情。[来源：bleepingcomputer]

谷歌发布 Chrome 安全更新，取消网址的“安全”标识

谷歌发布了 Chrome 69.0.3497.92 最新版本，适用于 Windows、MAC、Linux 等系统。新版本修复了一些漏洞，并取消了网址前的“安全”标识。Chrome 69 将不会再特地将HTTPS网站标记为“安全”，而是改在采用HTTP标准协议的网站旁标注“不安全”。这么做的目的是让用户了解不安全的网站，从而进一步推进全网加密。随着Chrome 70即将在10月份发布，当用户输入数据时，HTTP 站点将显示一个红色的“不安全”警告。[来源：us-cert]

僵尸网络 Mirai 和Gafgyt 最新变种目标瞄准企业网络

Palo Alto Networks 公司旗下 Unit 42 威胁研究团队在 9 月 9 日发布的一篇博文中指出，他们发现臭名昭著的物联网僵尸网络 Mirai 和 Gafgyt 的新变种。新的 Mirai 变种针对的是与 2017 年 Equifax 数据泄露事件相关的 Apache Struts 漏洞，而新的 Gafgyt 变种针对的是一个最近才被公开披露的漏洞，该漏洞会影响到不再受支持的旧版 SonicWall 全球管理系统（GMS）。Unit 42 团队发现，Mirai 和 Gafgyt 这些物联网僵尸网络已经将目标从普通用户转向企业用户，造成 DDoS 等威胁。[来源：bleepingcomputer]

Edge 与 Safari 浏览器存在安全风险，合法 URL 可被注入恶意内容