安卓釋出公告，修復多處關鍵漏洞

公告顯示，Google修補了5處嚴重漏洞和33處高危漏洞

在38處漏洞中，2018-01-01釋出的補丁程式中修復20處，另外18處於2018-01-05的安全補丁程式中修復。

2018-01-01安全補丁程式修復了四個嚴重的遠端程式碼執行漏洞和16個高風險的提權和拒絕服務漏洞。

最嚴重的漏洞是在安卓執行時（被標為CVE-2017-13176）可能被遠端攻擊者利用，攻擊者無需與使用者互動，就能獲得額外的許可權。

系統中還修復了一個嚴重的遠端程式碼執行漏洞，公司還解決了一個高風險拒絕服務漏洞和兩個高危性提權漏洞。

安全更新還修復了Media框架中的15個漏洞問題，其中最嚴重的漏洞可能被攻擊者利用精心構造的惡意檔案在獲得特權程式的上下文中執行任意程式碼。

2018-01-05安全補丁程式解決了Qualcomm元件中的一個嚴重缺陷，它可能允許遠端攻擊者使用特製檔案在特權程式的上下文中執行任意程式碼。補丁還修復了位於Qualcomm 閉源元件中的1個關鍵問題和6處嚴重漏洞。

安全補丁同時解決了位於LG元件，MediaTek元件，Media框架和NVIDIA元件中的高風險的提權漏洞。

安全補丁還解決了核心元件中的一處資訊洩露錯誤，以及三個高嚴重性提權漏洞。

Google裝置中的46處漏洞，同時於2018年1月的Pixel/ Nexus安全公告中修復。

嚴重程度較高的漏洞隻影響較老的安卓版本，同時大多數問題的嚴重程度均為中等。

受影響的元件包括Framework（1處漏洞），Media框架（16處漏洞），系統（1處缺陷），Broadcom元件（1個問題），HTC元件（1處缺陷），核心元件（7處bug），聯發科元件（1個問題）和高通元件（18個漏洞）。

來源：securityaffairs

本文由看雪翻譯小組 fyb波編譯

---

美國國土安全部資料遭洩露

美國國土安全部宣稱其於去年遭遇資料洩露，約24萬7千國土安全部僱員和個人的資料從DHS資料庫洩露。

DHS稱以為已辭職的僱員是造成這起資料洩露事故的主要原因，而不是因為駭客攻擊。

在昨日的新聞釋出會上，DHS回答道：“2017年5月10日，在由DHS OIG和美國檢察官辦公室所舉辦的犯罪調查活動中，DHS OIG發現了一個其前僱員擁有一份未經授權的調查案件管理系統副本。”

DHS資料庫中的員工，證人和可疑資料均遭洩露

被盜的資料是美國國土安全部（DHS）的檢察長辦公室（OIG）案件管理系統（CMS）的一個副本，這是一個DHS員工用來儲存當前和過去調查資料的資料庫應用。

資料庫裡包含調查這些案件的DHS僱員資訊，還包括調查物件和案件目擊者的資料。

根據美國國土安全部（DHS）的資料，一名已辭職的僱員在2014年左右盜走包含從2002年到2014年的DHS資料。

國土安全部說，該資料庫包含了大約247,167名現任和前任聯邦僱員的個人資訊。但沒有說有多少起案件受到此次資料洩露的影響。

國土安全部員工資料：2014年，由國土安全部直接僱用的聯邦政府僱員約246,167人。這些人的個人身份資訊包括姓名、社保號碼、出生日期、職位、級別和工作地點。 該聯邦政府僱員名單常常實在投訴和調查過程中，由DHS OIG調查辦公室用來進行身份確認。

調查資料：資料包含在2002年到2014年之間，與DHS OIG調查相關的個人，包括DHS員工和非DHS員工、證人和投訴人。 根據特定情況收集的檔案和證據，該個資料庫中的個人識別資訊（PII）會有所不同。 此資料庫中包含的資訊可能包括姓名、社保號碼、外國人登記號碼、出生日期、電子郵件地址、電話號碼、地址以及在與DHS OIG調查機構面談時提供的個人資訊。

DHS通知在職員工和前僱員

國土安全部官員表示，將花費數月的時間進行“徹底的隱私調查，對受損資料進行廣泛的法證分析，深入評估受此事件影響的風險，並對所暴露的資料進行全面的技術評估”。

原子能機構現在向所有受影響的個人提供18個月的免費信貸監測和身份保護服務。 相關信件已傳送給所有在職和前員工。

來源：bleepingcomputer

本文由看雪翻譯小組 哆啦咪 編譯