《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 每日安全動態(tài)第133期(11.23 - 11.25)

每日安全動態(tài)第133期(11.23 - 11.25)

2021-11-26
來源:維他命安全
關(guān)鍵詞: 安全動態(tài)

  CVE-2021-34704:拒絕服務(wù)漏洞

  思科自適應(yīng)安全設(shè)備軟件和 Firepower 威脅防御軟件 Web 服務(wù)存在拒絕服務(wù)漏洞。

  https://www.infosecurity-magazine.com/news/cisco-flaw-affects-firewalls/

  Microsoft Edge 中代碼執(zhí)行漏洞

  在 Microsoft Edge 中發(fā)現(xiàn)了一個可能導(dǎo)致遠程代碼執(zhí)行的漏洞。

https://www.cisecurity.org/advisory/a-vulnerability-in-microsoft-edge-could-allow-for-arbitrary-code-execution_2021-149/

  研華 R-SeeNet 中的多個漏洞

  用于監(jiān)控研華路由器的系統(tǒng)R-SeeNet存在CVE-2021-21920、CVE-2021-21921和CVE-2021-21922等漏洞。

  https://blog.talosintelligence.com/2021/11/re-see-net-advantched-vuln-spotlight.html

  CVE-2021-2442:權(quán)限提升漏洞

  影響 Oracle VM VirtualBox 的漏洞可能被攻擊者利用來破壞虛擬機管理程序并導(dǎo)致拒絕服務(wù) (DoS) 。

  https://thehackernews.com/2021/11/researchers-detail-privilege-escalation.html

  Fortinet FortiWeb任意代碼執(zhí)行漏洞

  研究人員在 Fortinet FortiWeb 中發(fā)現(xiàn)了一個允許任意代碼執(zhí)行的漏洞。

  https://www.cisecurity.org/advisory/a-vulnerability-in-fortinet-fortiweb-could-allow-for-arbitrary-code-execution_2021-150/

  Azure Sphere 漏洞回顧

  總結(jié)之前關(guān)于該漏洞的發(fā)現(xiàn),以及攻擊者如何利用它們,和這對用戶意味著什么。

  https://blog.talosintelligence.com/2021/11/a-review-of-azure-sphere.html

  如何調(diào)查云中的服務(wù)提供商信任鏈

  此博客概述了事件響應(yīng)者可以采取的步驟,以調(diào)查這些委派管理員權(quán)限的潛在濫用,獨立于攻擊者。

 https://www.microsoft.com/security/blog/2021/11/22/how-to-investigate-service-provider-trust-chains-in-the-cloud/

  使用繞過生物識別身份驗證

  研究人員證明,無需使用任何復(fù)雜或不常見的工具,只需 5 美元即可克隆指紋以進行生物識別認證。

https://www.bleepingcomputer.com/news/security/biometric-auth-bypassed-using-fingerprint-photo-printer-and-glue/

  Microsoft Edge 新增 Super Duper 安全模式

  Microsoft Edge 瀏覽器中添加了“Super Duper 安全模式”,可在不顯著降低性能的情況下提高安全。

  https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-adds-super-duper-secure-mode-to-stable-channel/

  安/全/工/具

  02

  TOOLS

  GNUnet - 點對點框架

  GNUnet 是一個點對點框架,提供了一個傳輸抽象層將網(wǎng)絡(luò)流量封裝在 UDP、TCP、HTTP和SMTP 消息中。

  https://packetstormsecurity.com/files/164924/gnunet-0.15.3.tgz

  Atomic Threat Coverage

  自動生成可操作的分析,旨在從檢測、響應(yīng)、緩解和模擬的角度對抗基于MITRE ATT&CK的威脅。

  https://securityonline.info/atomic-threat-coverage-combat-threats-based-on-mitres-attck/

  Gotanda - 瀏覽器的OSINT擴展

  Gotanda 是 Firefox/Chrome 的 OSINT擴展,可以從網(wǎng)頁中的某個 IOC 中收集OSINT信息。

  https://www.kitploit.com/2021/11/gotanda-browser-web-extension-for-osint.html

  SQLbit - SQL盲注的腳本

  用于自動化基于布爾值的SQL盲注的腳本,與 SQLite 一起使用支持使用 cookie。

  https://securityonline.info/sqlbit-automatize-boolean-based-blind-sql-injections/

  HyenaeNg - 數(shù)據(jù)包生成器

  Hyenae NG(下一代)是 Hyenae 工具的重寫,是高級跨平臺網(wǎng)絡(luò)數(shù)據(jù)包生成器。

  https://www.kitploit.com/2021/11/hyenae-ng-advanced-cross-platform.html

  Spam Scanner - 垃圾郵件掃描器

  是一種反垃圾郵件、電子郵件過濾和網(wǎng)絡(luò)釣魚防護服務(wù)。

  https://securityonline.info/spam-scanner-the-best-anti-spam-email-filtering-and-phishing-prevention-service/

  Fhex - 十六進制編輯器

  功能齊全的十六進制編輯器,基于qhexedit2、capstone和keystone引擎。

  https://www.kitploit.com/2021/11/fhex-full-featured-hexeditor.html

  SGC - 自動化攻擊

  SGC 是一種自動合成小工具鏈的工具,可以實現(xiàn)代碼重用攻擊自動化。

  https://securityonline.info/sgc-towards-automating-code-reuse-attacks-using-synthesized-gadget-chains/

  JVMXRay - Java 安全事件分析

  用于監(jiān)控對 Java 虛擬機內(nèi)系統(tǒng)資源的訪問的技術(shù),對軟件質(zhì)量流程和診斷很有幫助。

https://www.kitploit.com/2021/11/jvmxray-make-java-security-events-of.html




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。