【安全帮】jQuery流行插件漏洞遭滥用，国内多网站被挂马跳到博彩网站

微软完成对 GitHub 的收购 微软 完成了对 GitHub 的收购 ，Xamarin 的前 CEO Nat Friedman 将从下周一开始担任 GitHub 的 CEO。GitHub 是最受欢迎的基于 Git 的代码托管平台，有 3100 万开发者，微软是在今年 6 月宣布以价值 75 亿美元的股票收购 GitHub，表示收购之后 GitHub 将会独立运营，称微软是一家将开发者放置在第一位的公司。即将接替现任 CEO Chris Wanstrath 的 Friedman 在最新声明中表示 GitHub 未来会向开发者提供更多他们喜欢的工具。

参考来源：

https://www.solidot.org/story?sid=58371

 jQuery 流行插件漏洞遭滥用，国内多网站被挂马跳到博彩网站 近期360互联网安全中心收到多位站长求助，其网站在通过搜索引擎打开时，会跳转到网络博彩页面。经过分析发现，是网站使用的jQuery代码被恶意篡改，进一步分析发现，很多站点是因为使用的CMS中的旧版本jQuery-File-Upload插件存在任意文件上传漏洞(CVE-2018-9206)被利用后插入的恶意代码导致。Blueimp jQuery-File-Upload是一款被广泛使用支持多种语言的文件上传工具，它包括文件选择、文件拖放、进度条显示和图像预览等功能。 Blueimp jQuery-File-Upload 9.22.0及之前版本中，在最近被爆出存在任意文件上传漏洞(CVE编号：CVE-2018-9206，详情见：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9206)。远程攻击者可利用该漏洞执行代码。

参考来源：

https://www.secrss.com/articles/5973

欧洲议会要求全面审计 Facebook：评估个人数据安全性 据美国科技媒体TechCrunch报道，在Facebook出现一系列数据泄露丑闻之后（包括此前“剑桥分析”事件），欧洲议会提出要对Facebook进行全面审计。之前Facebook有870万用户的数据被不正当获取及滥用，为此欧洲议会成员正在敦促该公司允许欧盟机构进行全面审计，以评估数据保护和用户个人数据的安全性。在决议中，他们还建议Facebook调整其应对选举干预问题的做法——并坚称该公司不但辜负了欧洲用户的信任，还“违反了欧盟法律”。

参考来源：

http://hackernews.cc/archives/24339

应用日活增长背后的黑产狂欢——安卓拉活病毒 近期，腾讯安全反诈骗实验室通过TRP-AI反病毒引擎发现了数个以应用拉活为获利手段的黑产团伙，通过恶意代码下发拉活子包擅自尝试启动或唤醒用户手机中的正常应用，执行应用“拉活”操作，目标包括了电商、新闻、视频、浏览器等类别的各大知名应用。腾讯安全专家指出，DAU(DailyActive User)日活跃用户数，常用于反映网站、应用或网络游戏等的运营情况。移动互联网竞争激烈的现在，已很难从正规渠道获取到新流量，这些黑产团伙利用获得的黑产流量，通过技术手段篡改应用渠道活跃信息，将黑产流量转换成应用渠道流量，最终从中牟利。应用开发商投入的大量的渠道推广费用被黑产截流，造成巨大的损失。

参考来源：

http://www.freebuf.com/

两部门约谈腾讯 要求清理传播淫秽和低俗内容等公号

10月26日，全国“扫黄打非”办公室和国家新闻出版署就微信公众号传播淫秽色情和低俗网络小说问题约谈了腾讯公司，责令其立即下架违背社会主义核心价值观，低俗、庸俗、媚俗网络小说，坚决清理传播淫秽色情等有害内容的微信公众号，切实履行企业主体责任。腾讯公司即日起要立即全面开展自查自纠，对公众号进行认真审核、审看，坚决清理传播淫秽色情和低俗等有害内容的微信公众号，下架低俗网络文学作品，关停问题严重的公众号，整顿低俗内容引流现象，同时对类似问题“举一反三”，不给违法违规低俗内容提供传播的渠道。

参考来源：

http://tech.163.com/18/1026/15/DV284U4I00097U7R.html

中兴内部通告续聘美方监察官两年 五年内双边监管 日前，《中国经营报》记者独家获悉一份中兴公司名为“内部公示文件：关于监察官任命公告（根据2018年10月3日《监察官监察条件变更命令》拟定）”的文件，其中称，将延长自2017年7月20日开始的监察期。在此期间，独立监察官James M。 Stanton将被中兴延续聘任至2022年3月22日。该监察官将继续履行2017年《认罪协议》《认罪协议》附件A（修改版）以及美国法院的《同意公司监察官任命状》中规定的职责。之所以发出这样的变更命令，据中兴通讯在10月7日发布的公告称，是因为中兴公司、深圳市中兴康讯电子有限公司及美国商务部工业与安全局于2018年6月达成的替代和解协议所述的行为导致。

参考来源：

http://tech.caijing.com.cn/20181027/4529738.shtml

华擎驱动程序存在多处提权漏洞 SecureAuth Labs安全研究人员发现了ASRock实用程序安装的驱动程序中的多个漏洞。 SecureAuth在ASRock RGBLED和其他华擎品牌实用程序安装的AsrDrv101.sys和AsrDrv102.sys驱动程序中发现了一系列安全漏洞。通过利用这些漏洞，本地攻击者可以提升本地权限、内核任意代码执行，该漏洞由IOCTL的权限检查不足导致。驱动程序用于编程和查询嵌入式集成电路的状态。因此，应用程序可以访问风扇性能曲线，时钟频率，LED颜色，热性能以及其他用户可自定义的属性和监视功能。但是其中一些特定的IOCTL调用没有进行权限检查，导致存在4个高危漏洞。

参考来源：

https://www.secrss.com/articles/5362

关于安全帮

安全帮，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。