《安联智库-网安周报》2022-07-03

1、漏洞预警!!GitLab 曝出远程代码执行漏洞

7月1日消息，挪威当局在周三（6月29日）表示，过去24小时以来，一次网络攻击暂时瘫痪了挪威国内各公共与私营网站。

挪威国家安全局指出，此次分布式拒绝服务（DDoS）攻击目标是一个安全的国家数据网络，导致在线服务停摆数小时。

国家安全局负责人Sofie Nystrøm称，某个亲俄网络犯罪团伙很可能就是此次攻击的幕后黑手。她补充说，这次攻击“也让我们感受到，挪威已经身陷欧洲当前复杂的政治局势当中。”

就在挪威遇袭的两天前，类似的攻击也曾摧毁立陶宛的公共与私营网站。一周前，立陶宛遵照欧盟指示，限制通过该国向俄罗斯领土飞地加里宁格勒运送钢铁与黑色金属，俄罗斯官员表示将进行回应。据报道，一个亲俄黑客团伙已经宣称对此次事件负责。

这个夏季，“雪糕刺客”一词火了起来。雪糕刺客”是什么梗？随手拿起的一根小雪糕，却会在结账时给你的钱包刺上一剑！“平平无奇的外表，令人心梗的价格”“这种雪糕最解暑，还没拆开已经心凉”……

市场监管总局发布的《明码标价和禁止价格欺诈规定》7月1日起施行。《规定》明确了经营者不得实施的七种典型价格欺诈行为，包括谎称商品和服务价格为政府定价或者政府指导价；

以低价诱骗消费者或者其他经营者，以高价进行结算；通过虚假折价、减价或者价格比较等方式销售商品或者提供服务；

销售商品或者提供服务时，使用欺骗性、误导性的语言、文字、数字、图片或者视频等标示价格以及其他价格信息；无正当理由拒绝履行或者不完全履行价格承诺；

不标示或者显著弱化标示对消费者或者其他经营者不利的价格条件，诱骗消费者或者其他经营者与其进行交易；通过积分、礼券、兑换券、代金券等折抵价款时，拒不按约定折抵价款。

《明码标价和禁止价格欺诈规定》还明确了网络交易经营者不得实施的行为，包括在首页或者其他显著位置标示的商品或者服务价格低于在详情页面标示的价格；

公布的促销活动范围、规则与实际促销活动范围、规则不一致；其他虚假的或者使人误解的价格标示和价格促销行为等。

近期，Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos 应用程序严重漏洞，如果该漏洞被行为威胁者利用的话，就可能导致被安装在手机上的恶意应用程序窃取用户的亚马逊访问令牌。

从技术角度来看，当各种Amazon应用程序接口(API)对用户进行身份验证时，就需要Amazon访问令牌，其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口，像Amazon Drive API，可能允许威胁参与者获得对用户文件的完全访问权限。

根据Checkmarx的说法，该漏洞源于照片应用程序组件之一的错误配置，这将允许外部应用程序访问它。每当启动此应用时，它会触发一个带有客户访问令牌的HTTP请求，而接收该请求的服务器就能被其控制。

研究人员表示，在掌握这一点后，安装在受害者手机上的恶意应用程序可能会发送一个指令，并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间，勒索软件就很容易成为可能的攻击载体，恶意操作人员可以读取、加密和重写客户的文件，同时还能删除他们的历史记录。

目前，亚马逊已经确认并修复了其安卓照片应用程序中的一个漏洞，但该应用程序在 Google Play 商店的下载量已超过 5000 万次。