网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】jQuery 跨站脚本漏洞影响大量网站

2019-11-12 21:28 推荐: 浏览: 32 views 字号:

摘要: jQuery 跨站脚本漏洞影响大量网站 Snyk 发布了 2019 年度的 JavaScript 框架安全状况报告(PDF),除了最流行的 JS 框架  Angular 和 React 外,报告还观察了其它三个流行 JS 前端框架 Vue.js、Bootstr...

jQuery 跨站脚本漏洞影响大量网站

Snyk 发布了 2019 年度的 JavaScript 框架安全状况报告(PDF),除了最流行的 JS 框架  Angular React 外,报告还观察了其它三个流行 JS 前端框架 Vue.jsBootstrap jQuery 的安全漏洞。jQuery 过去 12 个月的下载量超过了 1.2 亿次,是 Vue.js 4000 万次和 Bootstrap 7900 万次之和。Vue.js 发现了 4 个漏洞,都已经修复。Bootstrap 发现了 7 个跨站脚本漏洞,3 个是在 2019 年披露的,无安全修正。jQuery 发现了 6 个影响所有版本的安全漏洞,4 个是中等危险级别的跨站脚本漏洞,1 个是中危 Prototype Pollution 漏洞,还有一个是低危拒绝服务漏洞。

参考来源:

https://www.cnbeta.com/articles/tech/909127.htm

 

微软 Defender 杀毒软件将发布 Linux

在近期举行的Ignite 会议上,微软宣布其杀毒软件 Microsoft Defender 明年将发布 Linux 版本。微软今年初将其安全软件 Windows Defender 重命名为 Microsoft Defender,代表它不仅仅在 Windows 平台释出,它已经发布了 Mac 版本。微软 M365 Security 业务企业副总裁 Rob Lefferts 称,Microsoft Defender for Linux 将在 2020 年提供给客户。Lefferts 表示该公司的安全产品 2019 年至今已经屏蔽了 135 亿恶意电子邮件,预计到年底将达到 140 亿。

参考来源:

https://www.solidot.org/story?sid=62552

 

Google 组建安全联盟以帮助解决 Android 恶意程序问题

Android 存在严重的恶意程序问题,甚至官方应用商店 Google Play 也不时发现隐蔽的恶意程序。为了解决该问题,Google 与安全公司 ESETLookout Zimperium 合作组建了 App Defense Alliance,这三家公司多年来对 Android 恶意程序有广泛的研究,但他们都是在发现恶意程序之后报告给 Google,而通过 App Defense Alliance,这些安全公司将利用其工具扫描和评估开发者递交的应用,在恶意程序未上架 Google Play 前将其识别出来。每一家安全公司都会提供不同的方法去扫描应用,识别木马、广告程序和勒索软件。

参考来源:

https://www.solidot.org/story?sid=62561

 

MySQL npm包中的本地文件泄露漏洞

在某次安全评估中,Synacktiv专家无意中发现某个应用可以从另一台MySQL服务器中读取敏感数据,而该应用程序正是使用了mysqlnpm软件包。该npm软件包所支持的LOAD DATA LOCAL命令可让服务器读取客户端机器上的文件。 尽管用户可以通过指定标记LOCAL_FILES来禁用这个危险功能,但实际上该配置并不生效,最后导致恶意的MySQL服务器始终可以读取连接客户端本地的文件。

参考来源:

https://nosec.org/home/detail/3157.html

 

服务器在情人节发生故障导致短信在 9 个月后才发送到接收者

16.8 万条在今年情人节发出的短信在 9 个月后才发送给接收者。原因是为美国移动运营商提供短信服务的 Syniverse 公司的一台服务器发生了故障。Syniverse 每个月为数百家移动运营商处理 6000 亿条短信,该公司称 99.8% 的短信能在 1 秒内传递出去。但服务器故障导致了部分短信延迟了 9 个月之久。该公司在一份声明中称,2019 2 14 日,一台服务器故障导致了队列中的短信没有传输出去。出于某种原因,该公司在随后的几个月里一直没有重新激活服务器。服务器是在 11 7 日重新激活的,结果是超过 16 万条情人节短信在 11 7 日发送了出去,给接收者带来不小的困惑,因为过去几个月部分发送者已经去世了。

参考来源:

https://www.solidot.org/story?sid=62560

 

DHS警告美敦力医疗设备存在严重缺陷,可被远程控制

近日,美国国土安全部(DHS)表示,美敦力(Medtronic Valleylab)医疗设备存在高危漏洞,可让攻击者实现远程命令执行。根据美国国土安全部(DHS)下属的网络安全和基础设施安全局(CISA)发布的一份安全报告,Medtronic Valleylab FT10FX8设备近期修复了三个高危漏洞,可让攻击者获得非root权限的shell。尽管从理论上来说,这些医疗产品上的网络连接和网络端口在默认情况下应该禁用,但实际情况恰好相反,这导致不少医疗设备会受到外部网络攻击的影响。CISA表示,存在漏洞的设备使用了多组硬编码凭证,如果凭证被暴露,攻击者就可以读取敏感文件。该漏洞被标记为CVE-2019-13543CVSS评分为5.8

参考来源:

https://nosec.org/home/detail/3155.html

 

黑客发现亚马逊和三星产品漏洞 获数十万美元奖金

1111日消息,据外媒报道,今年在日本东京举行的Pwn2Own黑客竞赛中,两名安全研究人员因发现亚马逊智能助手Alexa驱动的智能设备Amazon Echo和三星Galaxy S10中的漏洞,获得“顶级黑客”的殊荣。阿马特·卡马(Amat Cama)和理查德·朱(Richard Zhu)组成了所谓的Team Fluoroacetate,他们在最新的Amazon Echo Show 5(基于Alexa的智能显示器)发现漏洞,为此获得了6万美元的奖金。两名研究人员发现,这款设备使用的是谷歌开源浏览器项目Chromium的较旧版本,新发现的漏洞允许他们在设备连接到恶意Wi-Fi热点时“完全控制”该设备。研究人员在射频屏蔽外壳中测试了他们的发现,以防止任何外部干扰。参考来源:

https://www.cnbeta.com/articles/tech/909323.htm

联系站长租广告位!

中国首席信息安全官


关闭


关闭