国际资讯

甲骨文例行更新修复了 301 个安全漏洞 包含 45 个严重漏洞

甲骨文(Oracle)于本周进行了每季度的例行重要补丁更新(Critical Patch Update，CPU)，修复了 301 个安全漏洞，其中有 45 个被列为严重(Critical)等级，在 CVSS 漏洞评分系统上达到 9.8 分，最严重的 CVE-2018-2913 为 10 分。

本周的修复更新涉及到甲骨文旗下的十多款产品，其中漏洞最多的产品为 Fusion Middleware，总共修复了 65 个相关漏洞。其他依次是 Oracle MySQL 的 38 个、Retail 的 31 个与 PeopleSoft 的 24 个。本次甲骨文只修复了 Java SE 上的 12 个漏洞，有 11 个可通过远程进行利用。这是甲骨文 2018 年的最后一次修复更新，也让今年漏洞的总修复量达到了 1119 个。 

参考链接:https://www.oschina.net/news/100976/oracle-critical-patch-update-oct

安卓收费要多少钱？每台设备最多40美元一般20美元

据外媒报道，一位知情人士当地时间周五表示，按照一项全新的授权制度，Alphabet旗下谷歌公司将向使用其应用的硬件公司的每台设备收取最高达40美元的费用。这项新的授权制度取代了欧盟今年认为不利于竞争的老的许可体系。

该公司当地时间周二宣布，对于在欧洲经济区（EEA）推出、运行谷歌Android操作系统的任何新智能手机或平板电脑机型,这项新收费制度将于10月29日生效。

这位知情人士还表示，每台设备收费可能会低至2.50美元，具体收取多少则根据国家和设备尺寸大小的不同来决定。这是针对整个制造商的标准，多数制造商可能要为每台设备支付20美元左右。这项收费适用于谷歌应用商店（Google Play）、Gmail和谷歌地图(Google Maps)等一系列应用。 

参考链接:http://tech.163.com/18/1020/09/DUI631CR00097U7S.html

作业类App暗藏百款网游含涉黄游戏 老师推广可送话费

近日，深圳的赵先生向记者反映，上小学三年级的儿子每天都在使用一款名为“一起小学学生”的手机App，因为老师要在上面布置家庭作业。而赵先生反映在“成长世界”的板块中竟出现了网络游戏，孩子们可以通过完成任务来获得一定的分数，分数可以兑换虚拟货币，从而购买道具或者饲养电子宠物来和同学进行PK。 一些学习App的运营者，除了利用教学的幌子推广游戏以外，还有更“滑头”的做法，就是将App里的游戏通道转移到了微信公众号中，把中小学生用户引导到App以外的地方，试图逃避监管。一款名为“互动作业”的App出现大量与学习无关的内容，而“互动作业”的微信公众号除了利用游戏引导中小学生进行社交，还包含大量性暗示、性诱惑、不良价值取向的网络游戏。

参考链接:https://m.huanqiu.com/r/MV8wXzEzMzE1NzUwXzEyNjRfMTU0MDAyNTc2MA==

黑客事件

“间谍芯片门”持续发酵：韩国大举排查服务器、华为再躺枪

集微网消息，彭博于10月5日爆出的“间谍芯片门”虽无实质证据，但是对产业的影响仍在持续发酵。近日，韩国政府怀疑本国的众多服务器主板中被Super Micro的所谓改装芯片入侵，韩国公共机构和研究机构将对其服务器进行彻底排查，并计划在发现安全问题时更换其计算机系统。韩国方面认为，由于Super Micro因涉嫌利用间谍芯片进行黑客攻击，使用Super Micro服务器的韩国政府机构、研究机构和金融机构的安全问题越来越多，包括电子和电信研究所（ETRI）和韩国航空航天研究所（KARI），三星，SK，LG，KT和POSCO以及大学，金融机构，政府机构和网络托管服务提供商等，对技术可能泄露的关注日益增加。 “国家情报局正在检查国家机构，我们正在检查移动运营商和门户网站，”该部门表示，在大学和广播电台中也存在有疑虑的服务器。另一方面，韩国对“间谍芯片”的忧虑甚至无辜波及到华为5G设备。SK Telecom已将华为从其5G设备合作伙伴名单中剔除。 

参考链接:https://www.secrss.com/articles/5827

新的LibSSH漏洞允许黑客在无需密码的情况下接管你的服务器

LibSSH官方在本周二发布的安全公告中披露了一个已存在四年之久的高风险漏洞，它允许攻击者绕过身份验证，在不需要密码的情况下获取对受该漏洞影响服务器的完全控制权限。LibSSH是一个C 函数库，用于实现SSH2协议。这个新的安全漏洞被追踪为CVE-2018-10933，是一个在2014年初发布的Libssh 0.6版本中引入的SSH2登陆身份验证绕过漏洞。根据周二发布的安全公告，想要成功利用这个漏洞，攻击者所需要做的仅仅是通过向启用了SSH连接的服务端发送“SSH2_MSG_USERAUTH_SUCCESS”消息来代替服务端期望启动身份验证的“SSH2_MSG_USERAUTH_REQUEST”消息。 

参考链接:https://www.hackeye.net/threatintelligence/16823.aspx

美国3500万选民的数据在网上售卖 卖方称数据真实可信

销售数据泄露信息的论坛上的广告还提供了数百万美国居民的个人身份信息和投票历史。 估计的缓存大小超过3500万条记录。该公告称，所售出的数据来自更新的全州选民名单，包括数百万个电话号码，完整地址和姓名。数据来自美国20个州。卖方仅为三个州的列表提供记录数量：路易斯安那州（300万），威斯康星州（600万）和德克萨斯州（1400万），价格在1,300美元到12,500美元之间。所有列表都可以以不同的价格购买，可能根据它们包含的记录数量。 例如，最便宜的是明尼苏达州，目前售价150美元。

参考链接:http://toutiao.secjia.com/article/page?topid=110982