【云演情报】卡巴斯基曝光两款 Android 恶意软件；公主邮轮承认公司存在数据泄露问题

通达OA任意文件包含RCE

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件。近日通达OA官方论坛披露了近期一起通达OA用户服务器遭受勒索病毒攻击事件并发布了多个版本的漏洞补丁。

修复建议：

通达OA已发布补丁，官网下载即可。

imcat v4.9 index.php页面存在sql注入漏洞(CVE-2019-14968)

imcat v4.9 index.php页面存在sql注入漏洞。攻击者可以利用此漏洞执行任意的sql命令，可以造成数据库信息泄露，严重者可导致服务器被控制。修复建议：

升级至最新版本。

云业cms v2.0.2前台存在SQL注入漏洞

云业CMS是一款由洛阳云业信息科技有限公司开发的企业建站系统。云业CMS前台存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

修复建议：

  升级至最新版本。

疫情追踪应用暗藏 Covid Lock 勒索软件 下载安装请留心

随着新冠病毒引发的 COVID-19 疫情在全球的爆发，各种鱼龙混杂的“疫情追踪器”也开始盯上粗心的移动设备用户。一旦被名为 CovidLock 的勒索软件给劫持，用户将不得不支付 100 美元的赎金，以解锁他们的 Android 智能机。据悉，这款勒索软件会锁定受害者的手机屏幕并更改设备密码。如果此前未设定密码，CovidLock 还会自动设置一个密码，以迫使用户就范。对于普通用户来说，谨记远离任何不信任的应用来源，并仔细检查手机已安装的每款 App 的权限设置。

微软发布紧急安全更新:修复 SMBv3 协议漏洞

在本月的补丁星期二活动日上，微软对所有受支持的Windows 10系统发布了累积更新，并对Edge、Internet Explorer和其他组件进行了安全改进。在活动日期间，网络上意外曝光了存在于SMBv3协议中全新蠕虫漏洞，为此今天微软发布了紧急更新对其进行了修复。

GitHub宣布收购npm 接管整个JavaScript生态系统

Nat Friedman（GitHub CEO）宣布 GitHub 已签署收购 npm 的协议，并表示 npm 加入 GitHub 后会继续免费提供 public registry 服务。对于 GitHub 的这一收购行为，有开发者评论道：微软通过收购 GitHub 接管了整个开源生态系统，通过收购 npm 接管了整个 JavaScript 生态系统，通过 Visual Studio Code 占领了大部分开发者的机器，通过 TypeScript 改变了开发者使用 JavaScript 的方式。因此可以认为，JavaScript 现在基本上是属于微软的。

Intel 处理器曝新漏洞 打补丁性能骤降 77％

幽灵、熔断漏洞曝光后，Intel、AMD处理器的安全漏洞似乎突然之间增加了很多，其实主要是相关研究更加深入，而新的漏洞在基本原理上也差不多。事实上，Intel、AMD、ARM、IBM等芯片巨头都非常欢迎和支持这类漏洞安全研究，有助于提升自家产品的安全性，甚至资助了不少研究项目，近日新曝光的LVI漏洞就是一个典型。

卡巴斯基曝光两款 Android 恶意软件 可控制用户 Facebook 账户

安全大厂卡巴斯基刚刚公布了两款危害 Android 设备的新型恶意软件，警告其可能控制用户的 Facebook 等社交媒体账户。受感染的机器会向攻击者敞开用户社交帐户的访问权限，并被广泛应用于垃圾邮件和网络钓鱼等活动。更糟糕的是，两款恶意软件会协同工作，并逐步对用户设备展开破坏。

通达OA任意文件上传并利用文件包含导致远程代码执行漏洞通告

通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件。近日通达OA官方论坛披露了近期一起通达OA用户服务器遭受勒索病毒攻击事件并发布了多个版本的漏洞补丁。目前通达OA官方已发布针对勒索病毒的安全加固程序：http://cdndown.tongda2000.com/oasp/2019/2020_A1.rar

公主邮轮承认公司存在数据泄露问题

据外媒报道，在两艘邮轮爆发了新冠病毒后被迫在全球范围内停止运营的Princess Cruises（公主邮轮）目前已证实存在数据泄露问题。此外，Princess Cruises也没有说明是在哪个司法管辖区报告了这一数据泄露事件。如果是在欧洲，则会因违反欧洲数据保护规定而会被处以高达其年营业额4%的罚款处罚。

White Source 研究报告：开源漏洞在 2019 年增长近 50%

开源组件已成为当今许多软件应用程序的基础组成部分，这也使得其在安全性方面受到越来越严格的审查。根据开源管理专家 WhiteSource 发布的一份新报告，可知 2019 年公开的开源软件漏洞数增加到了 6000 多个，增速接近 50% 。庆幸的是，有超过 85% 的开源漏洞已被披露，且提供了相应的修复程序。

BitMEX13日出现两次短时宕机，系遭DDoS攻击所致

据官方公告，加密货币交易所BitMEX13日遭受两次DDoS攻击，导致出现短时宕机。两次DDoS攻击分别发生在3月13日10:16和10:40之间以及20:56左右。此前，BitMEX回应称是云服务提供商存在硬件问题，随后公告指出，DDoS攻击才是导致短时宕机的真正原因。

疫情追踪应用暗藏 Covid Lock 勒索软件 下载安装请留心

随着新冠病毒引发的 COVID-19 疫情在全球的爆发，各种鱼龙混杂的“疫情追踪器”也开始盯上粗心的移动设备用户。一旦被名为 CovidLock 的勒索软件给劫持，用户将不得不支付 100 美元的赎金，以解锁他们的 Android 智能机。

谨防冒用MXC抹茶名义的培训骗局

MXC抹茶相关负责人17日表示，接到用户反馈，近期出现了所谓“第一学堂”等冒充抹茶客服人员邀约用户加群培训事件。MXC抹茶并未开展过所谓“第一学堂”活动，也不会向任何第三方提供用户个人信息，提醒广大用户谨防欺诈风险。

EOS社区用户需警惕Voice钓鱼网站

近期名为voiceairdrop的EOS钓鱼账号，在伪装Voice官方赠送代币，Voice官网为Voice.com 。希望EOS社区用户多加警惕，不要轻易泄露自己的私钥，保护自己的资产安全。

更多精彩资讯敬请期待···