Discord修复其桌面应用中可导致远程代码执行的漏洞；Talos披露F2FS工具集中存在代码执行和信息泄露漏洞

Discord已修复桌面版应用程序中的一个关键漏洞，可导致远程代码执行（RCE）攻击。该漏洞存在于Discon桌面应用程序使用的软件框架Electron中，其contextIsolation被设置为false，这允许应用程序外部的JavaScript代码影响内部代码，例如web页面外部的JavaScript代码使用node.js功能。该漏洞被追踪为CVE-2020-15174，与其他两个漏洞结合利用可绕过导航限制并使用iframe XSS漏洞访问包含恶意代码的网页来执行RCE攻击。

思科Talos发现F2FS工具集中存在多个代码执行和信息泄露漏洞。F2FS是在嵌入式设备中常见的文件系统工具集，可创建、验证和修复Flash-Friendly File System文件。此次披露的漏洞为F2fs-Tools F2fs.Fsck文件系统检查信息泄露漏洞（CVE-2020-6104）、F2fs-Tools F2fs.Fsck多个设备代码执行漏洞（CVE-2020-6105）、F2fs-Tools F2fs.Fsck init_node_manager信息泄露漏洞（CVE-2020-6106）、F2fs-Tools F2fs.Fsck dev_read信息泄露漏洞（CVE-2020-6107）和F2fs-Tools F2fs.Fsck多个设备代码执行漏洞（CVE-2020-6108）。

一个黑客组织声称其已入侵5万台家用摄像头，并在成人网站上发布部分录像。泄露的大部分视频来自新加坡，此外还涉及到来自泰国、韩国和加拿大。据The New Paper报道，现已有70多名成员支付了150美元的订阅费，共享了超过3 TB的剪辑视频。目前仍不清楚黑客如何破坏IP摄像机，其可能利用了设备中漏洞，或者只是通过猜测弱密码。

伊朗政府IT部门报告其遭到大规模网络攻击，两个重要机构受到影响。据一家新闻社报告，攻击事件已损坏伊朗港口的电子基础设施。美国电台Radio Farda表示，此次攻击的目标很可能是伊朗的港口、银行和海事组织，但该消息尚未得到证实。伊朗政府IT部门发言人Abolghasem Sadeghi表示，这次攻击导致多个政府机构暂时停止互联网服务，以避免进一步的破坏。除此之外，伊朗政府并未提供关于该事件的更多细节。

黑客以Coinbase主题为诱饵，通过OAuth应用发起新一轮钓鱼攻击。该钓鱼邮件伪装为新服务条款，Coinbase用户必须阅读并接受才能继续使用该服务。当用户点击阅读并接受链接时，将被重定向到合法的Microsoft网站来登录其帐户。成功登录后系统会提示是否允许coinbaseterms的应用程序访问他们的账户。一旦用户点击是，黑客将拥有读取帐户配置文件及其电子邮件的完全访问权限。

Devolutions发布2020年中小型企业网络安全状况报告。为了更深入地了解中小型企业对网络安全的观念，Devolutions对来自IT、医疗保健、教育和金融等各个行业的182个中小型企业进行了调查。调查发现，62％的中小企业每年至少进行一次安全审核，14％的中小企业从不进行审核；57％的中小型企业表示在过去三年中遭受了网络钓鱼攻击；47％的企业允许终端用户在个人和专业帐户中重复使用密码。    

信息安全那些事儿~

长按二维码关注