微软例行更新
微软本周释出了例行安全更新,修复了至少120个安全漏洞,有17个被归类为高危漏洞。还有两个零日漏洞,在微软提供补丁之前,黑客就已经利用了这些漏洞:
远程攻击者通过创建特制页面并诱使用户使用IE打开,成功利用此漏洞的攻击者可在受到攻击的系统上以相同的用户权限执行任意代码。
CVE-2020-1464:Windows 签名验证绕过漏洞
本地攻击者通过在遭受攻击的计算机上执行特定操作,可以绕过的Windows签名机制加载任意危险的程序/文件。该漏洞已存在利用,会影响所有受支持的Windows版本,请尽快安装修复补丁。
https://www.solidot.org/story?sid=65230
Chrome 浏览器CSP突破导致数十亿用户面临数据被盗风险
据报道,基于Chromium内核的浏览器被曝存在一个可被绕过的内容安全策略(简称CSP)漏洞(CVE-2020-6519),导致数十亿用户容易被攻击者窃取数据和执行恶意代码。该漏洞并不直接导致网站被破坏,攻击者需要采取注入代码并强制加载执行绕过CSP的防护。当绕过浏览器时,个人用户的数据就会面临被盗的风险。该漏洞直到近日才得到彻底的修复,为避免遭受此类攻击而导致个人身份信息(PII)等敏感数据的泄漏,还请大家立即将浏览器升级到最新版本。
http://hackernews.cc/archives/31677
求售失败,Have I Been Pwned准备开源
据报道,HIBP是一个全网密码泄漏检查网站,提供“一键查询”帐号密码是否遭到泄漏的服务。目前,该网站已存储了80亿条数据外泄记录,并有300万人订阅了通知功能。随着受欢迎程度的挺高,创始人Hunt无法独自维护它,于去年逐步展开求售,现在求售失败,决定开源HIBP。然而要开源HIBP并非容易的事,因此Hunt一定要确保开源的源代码中外泄记录数据库的安全性。
https://tech.sina.com.cn/roll/2020-08-12/doc-iivhvpwy0540553.shtml
人脸信息灰色产业链引发关注 数据泄露或导致财产重大损失
近日,批量倒卖非法获取人脸等身份信息的灰色产业链引起广泛关注。据报道,这些信息在淘宝,闲鱼等网络交易平台上大肆售卖。而且售卖的人脸信息并非单纯的人脸照片,还包含身份证号,银行卡号,手机号等公民个人身份信息。该信息被泄露时,或将导致财产重大损失。相关人员表示:我们要树立信息保护的意识,学会行使权和安宁权(拒收广告的权利)。
https://tech.sina.com.cn/it/2020-08-08/doc-iivhvpwx9929553.shtml
高通证实骁龙DSP缺陷可令40%的智能手机暴露在黑客面前
近日,高通公司的骁龙芯片被发现其数字信号处理器(DSP)中存在400处可利用的漏洞。高通芯片占据了移动手机市场份额的40%以上,这意味着会有数以亿计的Android手机受到影响,或将被黑客窃取数据,安装难以被发现的隐藏间谍软件,甚至可以彻底将手机损坏而无法使用。高通表示,目前无证据显示这些漏洞正被利用,建议用户在补丁可用后尽快更新设备。并只从受信任的位置安装应用程序。”
http://hackernews.cc/archives/31670
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/88186.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论