【12.25】安全帮®每日资讯：谷歌披露微软尚未完全修复的Windows 10提权漏洞；戴尔Wyse设备曝两个10分安全漏洞

一组研究人员揭示了在戴尔Wyse瘦客户端中发现的两个严重安全漏洞，这些漏洞允许攻击者远程执行恶意代码，并访问受影响设备上的任意文件。该漏洞由医疗保健网络安全提供商CyberMDX发现，并于2020年6月报告给戴尔，该漏洞会影响所有运行ThinOS 8.6及更低版本的设备。戴尔已在最近更新中修复了这两个漏洞，漏洞的CVSS评分均为10分（满分10分），由此可见其严重性。

参考来源：

https://www.freebuf.com/news/258541.html

在微软今年 6 月发布的更新中，修复了存在于 Windows 系统中的一个高危漏洞，允许黑客在受感染的设备上将权限提高到内核级别。这个漏洞在今年 5 月被高级黑客作为零日漏洞使用，不过近日谷歌 Project Zero 团队使用公开的概念证明，表示这个问题依然存在，只是方法有所不同。微软 6 月份的补丁并没有修复原来的漏洞(CVE-2020-0986)，经过一些调整后，该漏洞仍然可以被利用。

参考来源：

http://hackernews.cc/archives/34333

美国网络安全基础设施和安全局（CISA）警告称，Treck开发的一个低级TCP/IP软件库存在严重漏洞，远程攻击者可以运行任意命令并发动拒绝服务（DoS）攻击。这四个漏洞影响Treck TCP/IP Stack 6.0.1.67及更早版本，其中最严重的是Treck HTTP服务器组件中的基于堆的缓冲区溢出漏洞（CVE-2020-25066），该漏洞允许攻击者重置目标设备或使其崩溃，甚至执行远程代码。

参考来源：

http://hackernews.cc/archives/34304

12月22日，思科发布了安全更新，主要修复了IP电话TCP数据包发现的拒绝服务漏洞。Cisco IP电话的TCP数据包处理功能中的漏洞可能允许未经身份验证的远程攻击者导致电话停止响应传入呼叫，挂断呼叫或意外重新加载。该漏洞是由于TCP入口数据包速率限制不足所致。攻击者可以通过向目标设备发送持续不断的精心制作的TCP流量来利用此漏洞。

参考来源：

https://baijiahao.baidu.com/s?id=1686837324983244358&wfr=spider&for=pc