网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】谷歌在主动攻击下修补Chrome的0day漏洞

2020-02-27 09:30 推荐: 浏览: 74 views 字号:

摘要: 谷歌在主动攻击下修补Chrome的0day漏洞 谷歌发布了一个Chrome更新程序,以解决三个安全漏洞,其中包括一个在野外被积极利用的0day漏洞。目前关于这些攻击的细节还没有公开。Chrome版本80.0.3987.122的一部分已经发布了0day补丁,此更...

谷歌在主动攻击下修补Chrome0day漏洞

谷歌发布了一个Chrome更新程序,以解决三个安全漏洞,其中包括一个在野外被积极利用的0day漏洞。目前关于这些攻击的细节还没有公开。Chrome版本80.0.3987.122的一部分已经发布了0day补丁,此更新可用于Windows、Mac和Linux用户,但不适用于Chrome OS、iOS和Android。0day是在CVE-2020-6418的标识符下跟踪的,并且只被描述为“V8中的类型混淆”。

参考来源:

https://www.zdnet.com/article/google-patches-chrome-zero-day-under-active-attacks/

 

多款Moxa产品缓冲区错误漏洞

台湾工业网络、计算和自动化解决方案提供商Moxa的多款产品中内嵌的Web server存在缓冲区错误漏洞。攻击者可利用该漏洞造成拒绝服务或执行任意代码。以下产品及版本受到影响:使用4.0及之前版本固件的Moxa MB3170系列;使用4.0及之前版本固件的MB3270系列;使用2.0及之前版本固件的MB3180系列;使用3.0及之前版本固件的MB3280系列;使用3.0及之前版本固件的MB3480系列;使用2.2及之前版本固件的MB3660系列。厂商补丁获取链接:https://www.moxa.com/en/support/support/security-advisory/mb3710-3180-3270-3280-3480-3660-vulnerabilities

参考来源:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202002-1215

 

黑客在PayPalGoogle Pay集成中发现漏洞 进行未经授权的付款

据外媒ZDNet报道,近日黑客在PayPal的Google Pay集成中发现了一个漏洞,现在正使用它通过PayPal帐户进行未经授权的交易。根据公开报告,估计此次损失在数万欧元左右,一些未经授权的交易远超过1000欧元。黑客正在利用哪些漏洞尚不清楚。PayPal告诉ZDNet,他们正在调查此问题。在这篇文章发表之前,谷歌发言人没有返回置评请求。

参考来源:

https://www.cnbeta.com/articles/tech/948363.htm

 

Firefox 对美国用户默认启用 DNS over HTTPS

Mozilla 宣布,从 2 月 25 日起 Firefox 开始对美国用户默认启用 DNS over HTTPS(DOH)。DOH 设计通过 HTTPS 加密向第三方或用户自己搭建的 DNS 服务器发出域名查询请求。Mozilla 认为 DoH 是更安全的域名解析方法。Mozilla 表示,如果用户选择了家长控制或禁用 DoH,它会尊重用户的选择;除非企业配置明确启用 DoH 它会遵守企业配置禁用 DoH;如果因为故障或其他问题导致域名查询失败它会回滚到操作系统默认使用的 DNS 服务器。

参考来源:

https://www.solidot.org/story?sid=63638

 

Firefox for Mac 和 Linux 版引入新安全沙盒系统

Firefox 的 Mac 和 Linux 版本引入了新的沙盒安全系统。该技术被称为 RLBox,它会隔离第三方库和应用的原生码,防止恶意代码逃逸到第三方库之外。RLBox 将沙盒技术带到了新的水平,它不是隔离应用和底层系统,而是隔离应用内部组件(或叫第三方库)和应用核心引擎。它将随下个月发布的  Firefox 74 for Linux 和 4 月发布的 Firefox 75 for Mac 提供给用户,未来会扩大到其它平台如 Windows。

参考来源:

https://www.solidot.org/story?sid=63634

 

开源网络安全联盟发布首个开源安全产品通讯框架

Open Cybersecurity Alliance(开源网络安全联盟,OCA)发布一种新语言框架 OpenDXL Ontology,旨在改变网络安全工具之间一盘散沙的局面。OpenDXL Ontology旨在通过消除对产品之间的自定义集成的需求来创建网络安全工具和系统之间的通用语言,这些自定义集成在互相通信时最有效(如断电系统、防火墙和行为监控器),但却因支离破碎和特定于供应商的基础架构而受困。

参考来源:

https://www.secrss.com/articles/17375

 

欧盟要求员工放弃使用WhatsApp和Messenger

欧盟委员会(EC)已告知其所有员工,出于网络安全因素考虑,应放弃使用WhatsApp、Facebook Messenger和苹果Messages等即时通讯应用,转而使用另一款即时消息应用Signal。Signal序因其“端到端”加密和开源技术而受到隐私维权人士的青睐。

参考来源:

https://tech.sina.com.cn/i/2020-02-25/doc-iimxyqvz5766891.shtml

联系站长租广告位!

中国首席信息安全官
关闭
关闭