原标题：BUF早餐铺 厂商建议暂停芯片漏洞相关更新;暴雪游戏出现DNS重绑定漏洞；Sonic游戏泄露用户信息；中国互联网协会成立个人信息保护工作委员会

　　各位 Buffer 早上好，今天是 2018 年 1 月 25 日星期四。冷空气大面积来袭，你那里下雪了吗？记得加衣保暖吃早餐哦。今天的 BUF 早餐内容有：戴尔、惠普等厂商建议用户暂停 spectre 和 meltdown 的相关更新；Mozilla 发布火狐浏览器更新，修复 30 多个 CVE 级别漏洞； 暴雪游戏出现漏洞导致数百万计算机陷入 DNS 重绑定风险，现已修复；世嘉 Sonic 游戏应用泄露用户地理位置信息和设备数据；Facebook 为提升安全支付 10万美元赏金；中国互联网协会成立个人信息保护工作委员会。

　　【国际时事】 戴尔、惠普等厂商建议用户暂停 spectre 和 meltdown 的相关更新

　　近日，戴尔、惠普等系统制造商建议客户不要安装最新的 spectre 和 meltdown 漏洞 BIOS 更新，因为相关更新会带来频繁重启等问题。当初这两个漏洞曝出后，引起轩然大波，各厂商紧急推出修复补丁，结果却发现带来更多问题。

　　周一，英特尔告诉用户停止部署微码更新，待重启问题解决后再进行修复。英特尔最初表示，只有运行 Broadwell 和 Haswell CPU 的系统更新后会遇到频繁的重启，但后来在 Ivy Bridge，Sandy Bridge，Skylake 和 Kaby Lake 平台也出现了类似问题。

　　英特尔目前表示已经确定了重启问题的根本原因，并正在设计“解决方案”。同时，已建议原始设备制造商、系统制造商、软件供应商和云服务提供商停止部署当前的更新版本。[来源：Securityaffairs]

　　近日，Mozilla 在 Firefox 58 版本和 ESR 52.6 扩展支持中进行了更新。其中，Firefox 58 的更新包含严重内存损坏漏洞（属于 CVE-2018-5089 和 CVE-2018-5090）补丁。这些漏洞可被恶意网页利用，在浏览器中执行恶意代码，进而劫持应用程序甚至整个电脑。

　　更新中共修复了 32 个 CVE 级别漏洞，有 10 个是 use-after-free 问题。恶意网站可以利用这类问题，导致软件崩溃，进而执行恶意代码甚至安装恶意软件。其中最严重的漏洞是存在于 DTMF 计时器（用于 WebRTC 连接）中的 use-after-free 漏洞（CVE-2018-5091）。

　　近日，一名谷歌安全研究员发现暴雪公司加载所有游戏的 Update Angent 中存在 DNS 重绑定漏洞。利用这个漏洞，攻击者可以用暴雪更新服务器的身份通过验证并发送恶意文件，Update Angent 会将恶意文件当做游戏更新来运行。影响到数百万安装暴雪游戏 Update Agent 的计算机。不过，目前暴雪表示已经修复该漏洞。

　　漏洞报告显示，暴雪 Update Agent 包含一个 JSON RPC 服务器，其他应用程序可以想这个服务器发送命令并与 Agent 进行交互。可以使用浏览器向用户发送恶意 Java，攻击该服务器，并将 Agent 的更新服务器重新绑定到恶意服务器。更多详情可参考该研究院发布的 POC 页面。

　　安全公司 Predeo 的研究员发现，Google Play 中的三款世嘉 Sonic 游戏应用正在将用户数据泄露给未认证的服务器。这三款应用包括：Sonic Dash、Sonic the Hedgehog™ Classic，以及 Sonic Dash 2: Sonic Boom，下载量已经超过百万。泄露的信息包括地理位置、设备数据、服务提供商名称、网络类型、制造商与交易商名称、电池电量、操作系统版本号等设备信息。

　　研究表明，这些应用会向 11 个远程服务器发送数据，其中有 3 个未经认证，而大部分服务器都明显搜集了用户数据用于市场营销。进一步研究则表明，这三款应用中平均存在 15 种 OWASP 漏洞。[来源：Securityaffairs]

　　Facebook 周一宣布，将准备高额奖金，用于奖励那些可以提升在线安全性和隐私性的研究提案。Facebook CSO Alex Stamos 去年夏天宣布发布新的“互联网安全保护奖励”项目，并在 BlackHat 大会上透露，Facebook 已经准备了 100 万美元来鼓励原创的防御性研究。

　　这个项目已经面向大学研究人员、教职工、非政府组织和非营利组织发出邀请，征集有关创新技术和实用技术的建议。关于反网络钓鱼、用户安全、后密码认证、滥用检测和报告、隐私保护技术以及用户安全的提案已经纷至沓来。根据具体细则判定，每个提案将得到最高 10 万美元的奖励。

　　提交提案的截止日期为 3 月 30 日。部分获奖者将在 5 月得到通知，全部名单则会在 2018 BlackHat USA 公布。

　　2017 年，Facebook 支付了将近 90 万美元的漏洞奖金，从 2011 年发布漏洞奖励计划以来共支付了超过 630 万美元的漏洞奖金。Facebook 创始人兼 CEO 马克·扎克伯格最也近表示，保护社区比利润最大化更为重要。可见 Facebook 的确很重视安全。[来源：SecurityWeek]

　　中国互联网协会1月22日成立个人信息保护工作委员会，近期将开展法律法规研究、个人信息保护领域公众监督、个人信息保护领域行业自律、相关课题研究等工作，并为政府部门执法及行业监管提供支撑。

　　目前，我国网络个人信息泄露情况比较严重。泄露途径有通过破解数据库、恶意代码等技术手段窃取；通过APP、社交软件等程序非法收集；通过线上和线下举办活动收集滥用；还有些通过商场、医院、银行、保险等企业疏于管理而被泄露等。泄露的内容从手机号码、电子邮箱、身份证号码到医疗体检记录、地理位置等，几乎涵盖了一个的全部信息。

　　中国互联网协会秘书长卢卫指出，我国个人信息保护工作任重道远，需要逐步建立结合事前引导、预警，事中监督监测以及事后治理处置等各个环节的一整套完善的管理机制，降低个人信息泄露危害程度，提升个人信息保护工作水平，切实保护好广大网民的个人信息不被滥用和泄露。协会成立个人信息保护工作委员会，将不断推进行业自律，组织制定行业规范和标准，促进行业协作和预警机制建设，实施社会和公众监督，全面开展个人信 息保护工作。[来源：中国新闻网]