《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 網(wǎng)絡(luò)安全快訊

網(wǎng)絡(luò)安全快訊

2020-09-14
來源: e安在線

  1、Apache Cocoon XML外部實(shí)體注入漏洞(CVE-2020-11991)

  9月11日 Apache 軟件基金會(huì)發(fā)布安全公告,修復(fù)了 Apache Cocoon xml外部實(shí)體注入漏洞(CVE-2020-11991)。Apache Cocoon 是一個(gè)基于 Spring 框架的圍繞分離理念建立的構(gòu)架,在這種框架下的所有處理都被預(yù)先定義好的處理組件線性連接起來,能夠?qū)⑤斎牒彤a(chǎn)生的輸出按照流水線順序處理。攻擊者可以使用包括外部系統(tǒng)實(shí)體在內(nèi)的特制 xml 來訪問服務(wù)器系統(tǒng)上的任何文件。

  參考來源:

  https://nosec.org/home/detail/4564.html

  2、畢馬威誤刪,14.5萬個(gè)賬號(hào)清零,微軟確認(rèn)數(shù)據(jù)不可恢復(fù)

  云盒子早前發(fā)布了一篇關(guān)于思科忘記刪除前職員賬號(hào)和權(quán)限,導(dǎo)致456個(gè)虛擬機(jī)被刪除,結(jié)果沒過幾天畢馬威也因?yàn)槿藶檎`刪除,失去全部員工的賬號(hào)和團(tuán)隊(duì)溝通數(shù)據(jù)。起因是畢馬威在刪除一個(gè)離職員工的賬號(hào)時(shí),誤將刪除操作覆蓋到畢馬威所有員工賬號(hào),導(dǎo)致14.5萬個(gè)員工賬號(hào)被一鍵清除,還包括了日常溝通、語音和視頻會(huì)議以及發(fā)送資料文檔等。

  參考來源:

  https://dy.163.com/article/FMBN25V20511A5GF.html

  3、首個(gè)國(guó)產(chǎn)超導(dǎo)量子計(jì)算機(jī)云平臺(tái)上線

  據(jù)外媒TechCrunch報(bào)道,TikTok已經(jīng)修復(fù)了其Android應(yīng)用中的四個(gè)安全漏洞,這些漏洞可能會(huì)導(dǎo)致用戶賬號(hào)被劫持。應(yīng)用安全啟動(dòng)公司Oversecure發(fā)現(xiàn)了這些漏洞,這些漏洞可能會(huì)讓同一設(shè)備上的惡意應(yīng)用從TikTok應(yīng)用內(nèi)部竊取敏感文件如會(huì)話令牌。會(huì)話令牌是一種可讓用戶登錄而無需再輸入密碼的小文件,如果被盜,這些令牌可以讓攻擊者在不需要密碼的情況下訪問用戶的賬戶。

  參考來源:

  https://www.cnbeta.com/articles/tech/1028261.htm

  4、英特爾Coffee Lake和AMD Zen + / Zen 2均被發(fā)現(xiàn)全新安全漏洞

  來自阿姆斯特丹的研究人員分享了有關(guān)最新AMD和Intel處理器中新的Spectre式推測(cè)執(zhí)行漏洞的詳細(xì)信息。它被稱為“ 盲目的 ”,它使攻擊者能夠在“幽靈”時(shí)代“失明”。也就是說,鑒于內(nèi)核中的緩沖區(qū)溢出很簡(jiǎn)單,并且沒有其他信息泄漏漏洞,BlindSide可以在推測(cè)性執(zhí)行域中進(jìn)行BROP式攻擊,以反復(fù)探查和隨機(jī)化內(nèi)核地址空間,制作任意內(nèi)存讀取小工具,并實(shí)現(xiàn)可靠的利用。

  參考來源:

  https://finance.sina.cn/stock/relnews/us/2020-09-13/detail-iivhuipp4108293.d.html

  5、國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心監(jiān)測(cè)發(fā)現(xiàn)十四款違法移動(dòng)應(yīng)用

  國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心近期在“凈網(wǎng)2020”專項(xiàng)行動(dòng)中通過互聯(lián)網(wǎng)監(jiān)測(cè)發(fā)現(xiàn),多款游戲類移動(dòng)應(yīng)用存在隱私不合規(guī)行為,違反《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定,涉嫌超范圍采集個(gè)人隱私信息。包括在 App 首次運(yùn)行時(shí)未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則,或未向用戶明示申請(qǐng)的全部隱私權(quán)限,未逐一列出收集使用個(gè)人信息的目的、方式、范圍等。

  參考來源:

  https://www.secrss.com/articles/25491

  6、德國(guó)威步公司旗下工業(yè)安全軟件被爆6個(gè)嚴(yán)重漏洞

  近日安全人員在威步(Wibu-Systems)的CodeMeter第三方許可證管理組件中發(fā)現(xiàn)了六個(gè)關(guān)鍵漏洞,這些漏洞可能使眾多行業(yè)的用戶面臨操作技術(shù)(OT)網(wǎng)絡(luò)的接管。這些漏洞可通過網(wǎng)絡(luò)釣魚活動(dòng)加以利用,也可由攻擊者直接利用,攻擊者可以對(duì)用戶環(huán)境進(jìn)行指紋識(shí)別,以修改現(xiàn)有軟件許可證或注入惡意許可證,從而導(dǎo)致設(shè)備和進(jìn)程崩潰。

  參考來源:

  https://www.secrss.com/articles/25458


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。