网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】研究人员发现星巴克API密钥 获4000美金奖励

2020-01-03 09:30 推荐: 浏览: 45 views 字号:

摘要: CVE-2019-17151:微信曝用户名远程代码执行漏洞,现已修复 趋势科技移动安全研究团队的Todd Han 和Lujunzhi Dong,Zhengyu 发现微信存在用户名远程代码执行漏洞。此漏洞使远程攻击者可以在受影响的腾讯微信版本上执行任意代码,但利...

CVE-2019-17151:微信曝用户名远程代码执行漏洞,现已修复

趋势科技移动安全研究团队的Todd Han Lujunzhi DongZhengyu 发现微信存在用户名远程代码执行漏洞。此漏洞使远程攻击者可以在受影响的腾讯微信版本上执行任意代码,但利用此漏洞需要用户交互,目标必须与攻击者一起在聊天会话中。目前,微信7.0.9版本已解决此问题,用户可以尽快更新。

参考来源:

https://www.zerodayinitiative.com/advisories/ZDI-19-1035/

 

美国海岸警卫队设施感染勒索软件

美国海岸警卫队在一则安全通知中称,它的一处海事设施感染了勒索软件 Ryuk,致使其停止运作 30 多个小时。海岸警卫队没有透露海事设施的位置,表示它相信勒索软件渗透到其网络是通过发送给一名雇员的钓鱼邮件。一旦雇员点击了嵌入在恶意邮件长的链接,勒索软件随后访问了企业信息网络文件,加密,阻止访问关键文件。海岸警卫队称,病毒在 IT 网络中扩散,甚至影响到了监视和控制货物驳运的工控系统,加密了对操作流程至关重要的文件。

参考来源:

https://www.solidot.org/story?sid=63136

 

CNNIC将新设立两台域名根镜像服务器

根据工信部的通知,CNNIC 将设立两台域名根镜像服务器(JK根镜像服务器),编号为 JX0011J JX0012K。去年年中 CNNIC 获得许可设立六台域名根镜像服务器,编号为 JX0001FJX0002FJX0003IJX0004KJX0005L JX0006L。工信部的通知称,CNNIC 必须制定并不断完善域名根服务器及域名根服务器运行机构的管理制度;指定专门人员负责域名根服务器的运行、维护和管理工作,建立固定的联系机制;选择具备资质的网络接入服务提供者为域名根服务器提供接入服务;域名根服务器机房地址、互联网协议(IP)地址和自治域(AS)号码等信息发生变更时,应当在变更之日前 15 日以书面形式报送工信部。

参考来源:

https://www.solidot.org/story?sid=63138

 

腾讯科恩称可通过无线协议远程攻入特斯拉车载系统

腾讯科恩实验室称,为了更深入的了解特斯拉车载系统的安全性,其研究了无线功能模块(Model S 上的 Parrot 模块)并在其中找到了两个漏洞。一个存在于无线芯片固件当中,另一个存在于无线芯片驱动当中。通过组合这两个漏洞,攻击者可以在 Parrot 模块的 Linux 系统当中执行任意命令。也就是说,通过这两个漏洞,攻击者可通过无线协议远程攻入特斯拉车载系统。

参考来源:

https://nosec.org/home/detail/3739.html

 

研究人员因在GitHub中发现星巴克的API密钥,获4000美金奖励

因星巴克开发人员的一个失误,某个API的密钥被暴露在GitHub上,攻击者可借此访问内部系统并改动授权用户列表。该漏洞的严重级别被设置为Critical,因为该密钥可让攻击者访问星巴克的JumpCloud API。漏洞猎人Vinoth Kumar在一个公开的GitHub存储库中发现了这个密钥,并通过HackerOne漏洞协调和奖励平台在通过审核的情况下公开了它。在和星巴克就补救措施进行商讨后,研究人员获得了4000美元的赏金,这可以说是星巴克重大漏洞的最高奖励了。

参考来源:

https://nosec.org/home/detail/3730.html

 

Mozilla 宣布将在全球范围内遵守美国加州隐私规定

据外媒报道,Mozilla日前宣布,它计划在新的一年里在全球范围内遵守新的《加州消费者隐私法(CCPA)》,而不只是针对美国西部各州的用户。《CCPA》是一项给加州人更多隐私保护的新法律,类似于欧盟推行的《GDPR》。据悉,CCPA将于当地时间11日正式实行。根据《CCPA》,加州用户可以询问公司收集了哪些个人信息、获得访问权限、更新和更正信息、删除信息、了解其跟谁共享这些信息并选择不向第三方出售这些信息等。

参考来源:

http://hackernews.cc/archives/29101

 

Chrome 扩展程序包含恶意代码,窃取加密钱包私钥

一个 Google Chrome 扩展程序被发现在网页上注入了 JavaScript 代码,以从加密货币钱包和加密货币门户网站窃取密码和私钥。该扩展名为 Shitcoin WalletChrome 扩展 IDckkgmccefffnbbalkmbbgebbojjogffn),于 12 9 日启动。据介绍,Shitcoin Wallet 允许用户管理以太(ETH)币,也可以管理基于以太坊 ERC20 的代币-通常为 ICO 发行的代币(初始代币发行)。用户可以从浏览器中安装 Chrome 扩展程序并管理 ETH coins ERC20 tokens;同时,如果用户想从浏览器的高风险环境之外管理资金,则可以安装 Windows桌面应用。

参考来源:

http://hackernews.cc/archives/29105

联系站长租广告位!

中国首席信息安全官
关闭
关闭