【12.25】安全帮®每日资讯:谷歌披露微软尚未完全修复的Windows 10提权漏洞;戴尔Wyse设备曝两个10分安全漏洞

  • A+
所属分类:安全新闻

【12.25】安全帮®每日资讯:谷歌披露微软尚未完全修复的Windows 10提权漏洞;戴尔Wyse设备曝两个10分安全漏洞

安全帮®每日资讯

戴尔Wyse设备曝两个10分安全漏洞,可远程控制并修改文件

一组研究人员揭示了在戴尔Wyse瘦客户端中发现的两个严重安全漏洞,这些漏洞允许攻击者远程执行恶意代码,并访问受影响设备上的任意文件。该漏洞由医疗保健网络安全提供商CyberMDX发现,并于2020年6月报告给戴尔,该漏洞会影响所有运行ThinOS 8.6及更低版本的设备。戴尔已在最近更新中修复了这两个漏洞,漏洞的CVSS评分均为10分(满分10分),由此可见其严重性。

参考来源:

https://www.freebuf.com/news/258541.html


Project Zero 团队披露微软尚未完全修复的Windows 10 提权漏洞

在微软今年 6 月发布的更新中,修复了存在于 Windows 系统中的一个高危漏洞,允许黑客在受感染的设备上将权限提高到内核级别。这个漏洞在今年 5 月被高级黑客作为零日漏洞使用,不过近日谷歌 Project Zero 团队使用公开的概念证明,表示这个问题依然存在,只是方法有所不同。微软 6 月份的补丁并没有修复原来的漏洞(CVE-2020-0986),经过一些调整后,该漏洞仍然可以被利用。

参考来源:

http://hackernews.cc/archives/34333


Treck TCP/IP Stack 中的新漏洞影响了数百万个IoT设备

美国网络安全基础设施和安全局(CISA)警告称,Treck开发的一个低级TCP/IP软件库存在严重漏洞,远程攻击者可以运行任意命令并发动拒绝服务(DoS)攻击。这四个漏洞影响Treck TCP/IP Stack 6.0.1.67及更早版本,其中最严重的是Treck HTTP服务器组件中的基于堆的缓冲区溢出漏洞(CVE-2020-25066),该漏洞允许攻击者重置目标设备或使其崩溃,甚至执行远程代码。

参考来源:

http://hackernews.cc/archives/34304


思科IP电话发现拒绝服务漏洞,需要尽快升级

12月22日,思科发布了安全更新,主要修复了IP电话TCP数据包发现的拒绝服务漏洞。Cisco IP电话的TCP数据包处理功能中的漏洞可能允许未经身份验证的远程攻击者导致电话停止响应传入呼叫,挂断呼叫或意外重新加载。该漏洞是由于TCP入口数据包速率限制不足所致。攻击者可以通过向目标设备发送持续不断的精心制作的TCP流量来利用此漏洞。

参考来源:

https://baijiahao.baidu.com/s?id=1686837324983244358&wfr=spider&for=pc


信通院发布《中国网络安全技术与企业发展研究报告 (2020年) 》 

2020年12月23日,中国信息通信研究院在(第十届)电信和互联网行业网络安全年会上发布《中国网络安全技术与企业发展研究报告(2020年)》,报告在《中国网络安全产业白皮书(2020年)》的基础上进行了补充。其在重点关注安全企业、互联网企业、运营商等主体网络安全市场布局的情况下,还结合热点趋势,重点对5G安全、容器安全、车联网安全、“区块链+安全”、数据合规等五个领域进行分析预测。

参考来源:

https://www.secrss.com/articles/28206


分析:“年度最严重APT事件”将推动全球网络安全市场大增长

美国证券公司Wedbush的高级技术分析师Dan Ives提出,由于SolarWinds黑客入侵给微软等多家企业及各州一级政府机构造成新一轮安全威胁,2021年全球网络安全支出将增长20%。Ives认为,考虑到这股“需求风暴”的巨大规模,他对网络安全股票的未来走势非常看好,并在周日发布的报告中上调了多支网络安全股票的价格预期。

参考来源:

https://www.secrss.com/articles/28241


Paste.nrecom平台被用于多个恶意软件活动

瞻博网络安全实验室(Juniper Threat Labs)最近新发布了几个恶意软件活动,这些活动依赖于类似于pastebin的服务来发动攻击。Pastebin是一个用户存储纯文本的web应用。用户可以通过互联网分享文本片段,一般都是源代码。攻击通常从网络钓鱼电子邮件开始,当诱使用户执行恶意软件时,它会从paste.nrecom.net下载恶意软件的后续阶段并将其加载到内存中,而无需写入磁盘。

参考来源:

https://www.4hou.com/posts/2OMj



本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。

【12.25】安全帮®每日资讯:谷歌披露微软尚未完全修复的Windows 10提权漏洞;戴尔Wyse设备曝两个10分安全漏洞
安全帮®大讲堂经典回顾


大讲堂—浅析《信息安全保障》

大讲堂—速读《网络安全法》

大讲堂—分布式流处理平台:KAFKA

大讲堂—网络协议安全,这些你不可不知

大讲堂—当威胁检测技术跟上了AI的脚步

大讲堂—企业求生之道:如何有效进行安全风险管理

大讲堂—逆向分析技术知多少?

大讲堂—关于Spark的那些事

大讲堂—浅析Hadoop!

大讲堂—MyBatis简介与入门

大讲堂—LSTM算法原理及应用

【12.25】安全帮®每日资讯:谷歌披露微软尚未完全修复的Windows 10提权漏洞;戴尔Wyse设备曝两个10分安全漏洞


关于安全帮®


安全帮®,是中国电信研究院安全工程研究中心旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系方式:微信公众号留言或联系客服QQ3025437891




【12.25】安全帮®每日资讯:谷歌披露微软尚未完全修复的Windows 10提权漏洞;戴尔Wyse设备曝两个10分安全漏洞

本文始发于微信公众号(安全帮):【12.25】安全帮®每日资讯:谷歌披露微软尚未完全修复的Windows 10提权漏洞;戴尔Wyse设备曝两个10分安全漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: