【08.26】安全帮®每日资讯：Qemu虚拟机逃逸漏洞风险提示；首个渗透到iOS生态系统的恶意SDK

runc是一款用于根据OCI规范生成和运行容器的CLI（命令行界面）工具。BIND 9.0.0至9.11.21, 9.12.0至9.16.5, 9.17.0至9.17.3,9.9.3-S1至9.11.21-S1存在安全漏洞，攻击者可以构造一个特殊请求引发断言失败造成目标服务异常结束。目前厂商已发布升级补丁以修复漏洞。

参考来源：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202008-1071

基于Debian，被黑客和安全专业人士用于渗透测试和网络监视等工作的发行版 Kali Linux 释出了 2020.3。主要新特性包括：默认 shell 准备从 bash 切换到 ZSH，2020.3 的默认仍是 bash 但下个版本将切换到 ZSH，ZSH 的功能更强大；引入 Win-KeX (Windows + Kali Desktop EXperience)；自动在 HiDPI 模式之间切换；Bluetooth Arsenal；Kali NetHunter 支持 Nokia 3.1 和 Nokia 6.1 手机等等。

参考来源：

https://www.solidot.org/story?sid=65339

近日，Claroty最新发布的工控系统安全报告发现，2020年上半年披露的工业控制系统 （ICS）漏洞中，70%以上可以远程利用。报告详细介绍了国家漏洞数据库（NVD）发布的365个ICS漏洞和工业控制系统网络应急小组（ICS-CERT）在2020年上半年发布的139个ICS通报的评估，共影响到53家供应商。Claroty的研究团队发现，NVD在2020年发布的ICS漏洞比去年发布的331个增加了10.3%。

参考来源：

https://www.secrss.com/articles/24997

Mintegral发行的iOS MintegralAd SDK（又名SourMint）中发现了恶意功能。在iOS应用程序上积极实施广告欺诈，并为数亿消费者带来了重大的隐私安全问题。目前，Mintegral在iOS和Android上都向开发者免费提供了该SDK，主要通过Mintegral的GitHub存储库、iOS的Cocoapods包管理器和Android的Gradle/Maven分发，允许开发者轻易在其应用中嵌入广告。

参考来源：

https://www.freebuf.com/news/247823.html