BUF早餐铺 | 央视曝光170号段手机号加价50元就可不实名；Google Chrome 66稳定版更新：修复四大严

各位 Buffer 早上好，今天是 2018 年 5 月 14 日星期一，农历三月廿九。今天的 BUF 早餐内容主要有：TreasureHunter PoS恶意软件的源代码被泄露到网上；Google Chrome 66稳定版更新：修复四大严重安全漏洞；26％的公司忽略安全漏洞，借口是没有时间去修复；央视曝光：170号段手机号加价50元就可不实名。

【网络安全】 TreasureHunter PoS恶意软件的源代码被泄露到网上

Flashpoint的安全专家确认，TreasureHunter PoS恶意软件源代码的确从三月份开始就被泄露在网上。研究人员发现这个病毒至少在2014年年底就已经出现。TreasureHunt首先被SANS研究所的研究人员发现，他们注意到恶意软件会生成互斥体名称以逃避检测。

TreasureHunt列举在受感染系统上运行的进程并实施内存抓取功能来提取信用卡和借记卡信息。被盗的支付卡数据通过HTTP POST请求发送给C&C服务器。FireEye的专家分析了这些恶意软件后发现，黑客会利用弱口令入侵PoS系统。一旦TreasureHunt恶意软件感染系统，它会将自身安装到“%APPDATA%”目录中并通过创建注册表项来保证驻留系统：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jucheck

Flashpoint研究人员在俄语论坛上发现了TreasureHunter的源代码，发布代码的人还泄露了用户界面和管理员面板的源代码。PoS恶意软件的开发者似乎是一位精通英语的俄国人。可怕的是黑客可以通过源代码构建自己的病毒，从而导致攻击的种类和多样性大大增加。发布TreasureHunter的黑客也说，其他黑客可以根据自己的需求修改源码。[来源：SecurityAffairs]

【企业安全】 26％的公司忽略安全漏洞，借口是没有时间去修复

上个月在RSA安全大会上收集的一项调查显示，尽管大多数公司都采取了合适的安全措施，但其中一些公司甚至故意忽视安全缺陷，其原因包括缺乏时间和缺乏专业技术等各种原因。

该调查汇集了来自RSA会议公司的155位安全专业人员的答案，结果显示只有47％的组织在得知消息后立即修补漏洞。最令人担忧的是，部分公司在漏洞出现之后等待相当长的一段时间才打好补丁，导致他们的IT基础设施遭受攻击。更准确地说，16％等待一个月，而8％的人表示他们每年只进行一次或两次补丁。

调查显示，并非所有公司都使用补丁。大约26％的受访者表示，他们的公司忽视了一个严重的安全漏洞，因为他们没有时间去修复它。更有甚者，16％的组织表示他们也忽略了一个严重的安全缺陷，因为他们没有技术来修补它。[来源：FreeBuf]

【Web安全】 Google Chrome 66稳定版更新：修复四大严重安全漏洞

本周四Google发布了Chrome 66稳定版维护更新，最新版本号为v66.0.3359.170，目前已经面向Linux、Mac和Windows三大平台开放，重点修复了一些非常严重的安全问题。Google Chrome 66.0.3359.170版本目前共修复了4个安全漏洞，包含能够从沙盒中逃逸的高危漏洞、一个在扩展程序的提权漏洞、一个在V8 JavaScript引擎中类型混乱问题以及PDF查看器PDFium中的堆缓冲区溢出问题。

目前Google并未对外披露具体有多少用户受到这些漏洞影响，官方日志中写道：“在大部分用户安装修复补丁之后我们会公布BUG的细节和链接信息。如果这些BUG依然存在于其他项目所依赖的第三方库中我们也会选择保留。”

除了上文提及的安全漏洞之外，Chrome 66.0.3359.170同时还包含了其他大量修复，因此推荐Chrome用户尽快完成升级，避免被黑客有机可乘。[来源：cnBeta]

【数据安全】 IBM禁止使用可移动驱动器来传输数据