7月30日,安全研究人员公布了Zoom的一个关键安全漏洞。Zoom的网络客户端允许任何人检查会议的密码是否正确,没有任何尝试次数的限制。Zoom 会议默认由 6 位数字密码保护,所以可能出现100万个不同的密码。攻击者可以写一个小的 Python 代码来尝试所有的 100 万个密码,并在几分钟内找到正确的密码。
参考来源:
http://hackernews.cc/archives/31467
安全启动存在严重漏洞,几乎所有Linux和Windows设备受影响
7月30日,网络安全研究人员披露了一个位于GRUB2引导程序中的高风险漏洞BootHole(CVE-2020-10713),该漏洞影响了全球数十亿设备,几乎波及所有正在运行Linux发行版或Windows系统的服务器、工作站,笔记本电脑,台式机及IoT系统。一旦被利用,该漏洞可让攻击者避开安全启动功能,并获得高度特权,隐身访问目标系统。
参考来源:
https://www.freebuf.com/news/245060.html
恶意程序使用 Dogecoin API 寻找 C&C 服务器地址
据安全公司Intezer Labs报告,一种新的恶意程序Doki会使用Dogecoin API寻找C&C服务器地址。研究人员称,Doki由黑客组织Ngrok控制,使用硬编码钱包地址去查询 Dogecoin 区块资源管理器 dogechain.info API,对返回的值执行 SHA256,提取前 12 个字符作为子域名使用,将子域名结合 ddns.net 获得完整地址。
参考来源:
https://www.solidot.org/story?sid=65087
约会应用程序缺陷可能让黑客阅读用户私人信息
Check Point的研究人员发现,OkCupid的Android和web应用程序存在缺陷,可能会导致用户的认证令牌、用户ID以及其他敏感信息,如电子邮件地址、偏好、性取向和其他私人数据被盗。Check Point的研究人员负责地将他们的发现与OkCupid分享后,Match Group旗下的公司修复了这些问题,声明“没有一个用户受到潜在漏洞的影响。”
参考来源:
https://tech.163.com/20/0629/10/FG9IJJLS00097U7R.html
Seafile seafile-client 安全漏洞
海文互知网络技术 Seafile是海文互知网络技术公司的一款开源的企业云盘。该产品具有Markdown WYSIWYG编辑,Wiki,文件标签等功能。seafile-client是一款Seafile客户端应用程序。Seafile seafile-client 7.0.8版本中存在安全漏洞(漏洞编号为CVE-2020-16143,中危),该漏洞源于程序从当前工作目录中加载exchndl.dll文件。攻击者可利用该漏洞实施DLL劫持攻击。
参考来源:
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1735
化妆品巨头雅芳泄漏1900万条数据记录
全球化妆品巨头雅芳(Avon)最近因云服务器配置错误泄漏了1900万条记录,其中包括个人信息和技术日志。SafetyDetectives的研究人员发现雅芳在Azure服务器上的Elasticsearch数据库公开暴露,且没有密码保护或加密。SafetyDetectives随后解释称:“该漏洞意味着拥有服务器IP地址的任何人都可以访问公司的开放数据库。”
参考来源:
http://hackernews.cc/archives/31309
grub2 缓冲区错误漏洞
grub2是GNU计划的一款Linux系统引导程序。grub2中存在缓冲区错误漏洞(漏洞编号为CVE-2020-14309,中危)。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。目前厂商已发布升级补丁以修复漏洞。
参考来源:
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1738
本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。
关于安全帮®
安全帮®,是中国电信网络与信息安全研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。
联系方式:微信公众号留言或联系客服QQ3025437891
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论