各位Buffer早上好，今天是2018年9月21日星期五，農曆八月十二。今天的早餐鋪內容有：新蛋網用戶信用卡數據泄漏，惡意代碼存在約1個月；西數NAS出現嚴重安全漏洞，攻擊者可獲得完整訪問權限；超過3000個網站的訪問權限在俄羅斯黑市上出售；Adobe發佈針對Adobe Reader和Acrobat的重要安全更新；最高法五年工作規劃：擬出臺相關司法解釋，保護個人信息權；研究報告指出加密貨幣未必安全，相關非法活動比去年多459%。

　　以下請看詳細內容：

　　新蛋網用戶信用卡數據泄漏，惡意代碼存在約1個月

　　有安全研究人員發現，黑客將15行銀行卡盜刷代碼植入新蛋網支付頁面，從8月14月-9月18日，代碼一直存在。這種惡意代碼從用戶手中竊取信用卡數據，傳輸到由黑客控制的服務器。黑客的代碼同時影響桌面端和移動端用戶，只是目前還不清楚移動端用戶是否已經受到影響。

　　安全研究人員指出，攻擊新蛋網的方式十分巧妙，僞裝極好，與最近英國航空公司（British Airways）信用卡泄露事件、以及之前發生的Ticketmaster泄露事件有些類似。有人將新蛋網數據泄露事件歸咎於黑客團體Magecart，他們喜歡針對有漏洞的網站發起攻擊。[來源：thehackernews]

　　西數NAS出現嚴重安全漏洞，攻擊者可獲得完整訪問權限

　　西部數據（Western Digital）廣受歡迎的 My Cloud 系列網絡附加存儲（NAS）設備，近日曝出了一個嚴重的安全漏洞，導致攻擊者可以完全訪問設備裏的內容。荷蘭安全研究員 Remco Vermeulen 剛剛分享了有關該問題的“特權提升攻擊報告”，另一位同行亦表示早已披露了其它攻擊的詳細信息，但西數迄今未給出固件更新。

　　Remco Vermeulen 指出：身份驗證繞過漏洞允許攻擊者在登錄設備之前獲得管理員權限，他們只需創建反向 shell，便可訪問驅動器上的用戶文件。[來源：cnBeta]

　　超過3000個網站的訪問權限在俄羅斯黑市上出售

　　Flashpoint的研究人員發現使用俄語的地下黑客論壇正在出售超過3000個網站的訪問權限，有些網站訪問權限的售價最低爲20美分。按照賣家的說法，買家可以掌握網站的PHP shell、託管控制、域控制、文件傳輸協議（FTP）、安全套接字Shell（SSH）、管理面板和數據庫。

　　大多數被出售的網站都是電子商務網站，少量爲醫療保健、法律、教育和保險行業以及屬於政府機構和組織的網站。[來源：securityaffairs]

　　Adobe發佈針對Adobe Reader和Acrobat的重要安全更新

　　上週Adobe發佈了9月的月度補丁，包含6個關鍵更新。看起來他們漏了了一個，昨晚Adobe發佈了針對Adobe Acrobat和Adobe Reader中關鍵漏洞的重要安全更新。

　　Adobe發佈的APSB18-34安全公告描述了漏洞的信息，這是一個越界寫入漏洞（CVE-2018-12848），可實現未經許可的代碼運行，上週發佈的補丁針對的是6個可導致信息泄露的越界訪問漏洞。[來源：BLEEPINGCOMPUTER]

　　最高法五年工作規劃：擬出臺相關司法解釋，保護個人信息權

　　隨着個人信息泄露事件的增多，人們對個人信息保護的需求也不斷高漲。近日，最高人民法院發佈《關於在司法解釋中全面貫徹社會主義核心價值觀的工作規劃（2018-2023）》（以下簡稱《規劃》）。《規劃》明確規定，要及時出臺審理個人信息權糾紛案件適用法律問題的司法解釋，保護個人信息權。

　　“以前民法和行政法律規則不健全，只能依靠刑法規則，但是僅僅依靠刑事法律打擊犯罪並不能真正有效地提升企業的數據安全管理水平。現在最高法擬出臺審理個人信息權糾紛案件的司法解釋，提供民事救濟渠道，將進一步完善我國個人信息權利保護框架下公力救濟和私力救濟機制。”上海社會科學院信息研究所助理研究員張衠表示。[來源：安全內參]

　　研究報告指出加密貨幣未必安全，相關非法活動比去年多459%

　　網絡安全機構Cyber Threat Alliance在週三公佈的研究報告中指出，比特幣未必安全，黑客利用軟件漏洞，非法“劫持”其它設備的計算力，從事門羅幣（Monero）、比特幣等加密貨幣挖礦活動，而且這個漏洞是利用了美國政府機構的黑客工具。

　　報告中說，在加密貨幣挖礦領域，2018年發生的違法事件比2017年多出459%。之所以創下新高，與2017年發生的“永恆之藍”（Eternal Blue）泄露事件有着密切的關係。“永恆之藍”是一種黑客工具，它可以從老舊微軟系統中找到漏洞並加以利用。黑客可以利用這種工具，霸佔其他人的計算力來生成數字貨幣。[來源：cnBeta]

　　*Freddy 編譯整理，轉載請註明來自 FreeBuf.COM