BUF早餐铺 | 微软修复70多个漏洞；AMD出现13个严重漏洞；两会关注网络安全产业发展;上海警方集中打击侵犯公民个

东城渐觉风光好。縠皱波纹迎客棹。绿杨烟外晓寒轻，红杏枝头春意闹。

各位 Buffer 早上好，今天是 2018 年 3 月 15 日星期四、“国际消费者权益日”。大家有关于产品安全或隐私的问题想吐槽吗？先吃早餐再聊吧。今天的 BUF 早餐内容主要有：微软周二修复 74 个安全漏洞，Adobe 修复严重漏洞；Samba 发布新版本，修复两个严重漏洞；AMD 出现 13 个严重漏洞，影响 Ryzen 和 EPYC 系列处理器；远程桌面协议出现 CredSSP 漏洞，影响所有版本的 Windows；到 2020 年，约 90% 的企业都会使用生物认证技术；全国政协委员谈剑锋：建议加大网络安全产业投入。

以下请看详细内容：

3 月份微软修复日共修复了 74 个漏洞，涉及 IE 浏览器、Edge 浏览器、Windows、微软 Exchange 服务器、ASP.NET Core、.NET Core、PowerShell Core、ChakraCore、Office 和 Office 的服务及 Web App 等产品。本月微软修复的所有漏洞都不是 0-day，且其中两个漏洞 CVE-2018-0808 和 CVE-2018-0940 都已经众所周知，不过在补丁发布前，并未检测到攻击者利用这个漏洞。

本月，Adobe 修复的漏洞包括 Flash 播放器中两个严重的远程代码执行漏洞（CVE-2018-4919 和 CVE-2018-4920）以及 Dreamweaver CC 中的操作系统命令注入漏洞.[来源：bleepingcomputer]

Samba 是一款广受欢迎的软件。使用 SMB/CIFS 协议的用户可以使用 Samba 安全且快速的文件与打印服务，还可以实现 GNU/Linux 或 Mac OS X 系统与 Windows 系统共享文件夹、文件、打印机。近日，Samba 项目维护者发布了 Samba 新版本，修复了两个严重漏洞。没有特权的攻击者可利用这个漏洞，针对服务器发起 DoS 攻击，并更改任意用户（包括管理员）的密码。

第一个是 DoS 漏洞（CVE-2018-1050）是由于缺少对某些参数的输入清理检查而造成的，会影响 Samba 4.0.0 及以后的所有版本。如果 PC Spoolss 服务被配置为外部保护服务而运行，那么就可能会被攻击者利用。

第二个漏洞（CVE-2018-1057）是由于 Samba 在用户申请通过 LDAP 修改密码时没有正确验证请求是否有效。这个漏洞影响 Samba Active Directory DC、所有版本的 Samba’s AD DC 以及  Samba 4.0.0alpha13 之后的发行版本。

建议管理员尽快升级更新，也可查看 Samba 安全更新页面了解详情。[来源：Securityaffairs]

周二，以色列安全公司 CTS Labs 披露 AMD 中出现了 13 个漏洞，分为 RyzenFall、MasterKey、Fallout 和 Chimera 四类，影响 Ryzen 和 EPYC 系列处理器。利用这些漏洞，攻击者可以获得对系统的全部控制权，同时从 AMD CPU 的安全区域提取数据。这与之前的 Meltdown 和 Spectre 漏洞相似。

MasterKey 系列的 3 个漏洞会对硬件造成物理损伤，影响 EPYC、Ryzen、Ryzen Pro 和 Ryzen Mobile。在 EPYC 和 Ryzen 中已被利用。RyzenFall 1 号漏洞和 Fallout 1 号漏洞可以窃取网络凭证，绕过包括 Windows Credential Guard 在内的微软 VBS，影响 EPYC、Ryzen、Ryzen Pro 和 Ryzen Mobile，并在这些产品中被成功利用。RyzenFall 和 Fallout 2 号漏洞会让系统的安全管理 RAM 读/写保护功能失效。影响 EPYC、Ryzen 和 Ryzen Pro。不影响 Ryzen Mobile。RyzenFall 和 Fallout 3 号漏洞可以窃取网络凭证，读取 VTL1 内存中的机密信息，绕过  Windows Credential Guard。RyzenFall 4 号漏洞可以窃取网络凭证，绕过包括 Windows Credential Guard 在内的微软 VBS，影响 Ryzen 和 Ryzen Pro，并在这些产品中成功利用。Chimera 漏洞主要存在于固件和硬件中，在芯片中运行，可利用芯片的特殊位置作为中间人，攻击硬件外围设备。影响 Ryzen 和 Ryzen Pro，并在这些产品中成功利用。[来源：bleepingcomputer]