网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】Firefox在野远程代码执行漏洞 (CVE-2020-6819/6820) 通告

2020-04-06 09:30 推荐: 浏览: 31 views 字号:

摘要: Firefox在野远程代码执行漏洞 (CVE-2020-6819/6820) 通告 2020年4月3日,Mozilla在其安全通告中批露其修复了两个针对Firefox浏览器的在野0day漏洞(CVE-2020-6819、CVE-2020-6820)。两个漏洞C...

Firefox在野远程代码执行漏洞 (CVE-2020-6819/6820) 通告

2020年4月3日,Mozilla在其安全通告中批露其修复了两个针对Firefox浏览器的在野0day漏洞(CVE-2020-6819、CVE-2020-6820)。两个漏洞CVE-2020-6819/CVE-2020-6820分别是浏览器在处理nsDocShell析构函数和ReadableStream时,由于竞争条件导致的UAF漏洞。该漏洞已在Firefox 74.0.1和Firefox ESR68.6.1版本中修复,建议用户升级到最新版本。

参考来源:

https://www.secrss.com/articles/18404

 

20万个网站管理员访问权限受威胁 WordPress插件存在严重RCE错误

据外媒报道,Wordfence研究人员在WordPress SEO插件的Rank Math系统中发现了两个RCE漏洞。根据研究,黑客可以通过这两个漏洞对20万个易受攻击的网站进行劫持,并获得远程访问权限。据悉,第一个漏洞使攻击者可以更新任意元数据,包括授予或撤销管理员权限的能力。第二个漏洞可用于在站点上创建“重定向”,并且该功能可以通过注册REST-API端点来使用。

参考来源:

https://www.easyaq.com/news/2147307729.shtml

 

Zoom被发现对其加密技术进行了虚假宣传

加拿大多伦多大学公民实验室的研究人员对Zoom进行了逆向工程,发现该公司在加密方案上有虚假宣传。Zoom 称其会议使用 AES-256 加密,但实际上只在 ECB 模式下使用了简单的 AES-128 密钥,密钥由 Zoom 的服务器产生。它还声称使用端对端加密,但事实上距离真正的端对端加密还比较遥远,该公司对端对端加密的定义与通常的定义有差距。

参考来源:

https://www.cnbeta.com/articles/tech/963969.htm

 

Bitdefender揭露Mandrake间谍软件成功入侵谷歌ChromeGmail等应用程序

据外媒报道,Bitdefender揭露Mandrake间谍软件已经成功入侵谷歌Chrome、Gmail、澳新银行、澳大利亚联邦银行、墨尔本银行移动银行、南非银行、Australian Super和PayPal等应用程序。同时,Bitdefender研究团队表示他们已经记录了该间谍软件颠覆这些应用程序的具体过程,安全调查小组还发现了Mandrake平台是专门针对澳大利亚安卓用户的间谍行动平台,研究人员认为这个高度复杂的间谍平台已经活跃了至少四年时间。

参考来源:

https://www.easyaq.com/news/2147307731.shtml

 

Guix项目宣布将终止对 Linux内核的支持

GNU Guix是一个事务包管理器和 GNU发行版,使用Linux-Libre自由内核,2015 年移植到了GNU Hurd,开发者在4月1日宣布将停止支持Linux 内核。Guix开发者称,运行在Hurd 内核上始终是项目的目标,而支持多个内核是一个巨大的维护负担,因此即将发布的Guix 1.1将是最后一个使用Linux-Libre内核的版本,Guix System的未来版本将只运行在Hurd 内核上,Guix 2.0将彻底移除Linux-Libre。开发者希望其它发行版也采用Hurd以增加用户的安全和自由。

参考来源:

https://www.solidot.org/story?sid=64025

 

澳大利亚即将颁布2020年《电信立法修正案条例草案》

据外媒报道:澳大利亚执法诚信委员会(ACLEI)支持该国即将颁布的2020年《电信立法修正案条例草案》。该法案旨在修订《1979年电信(侦听和访问)法》(TIA法),以创建一个框架,使澳大利亚机构能够从与澳大利亚达成协议的国家/地区中的外国指定通信提供商访问存储的电信数据,反之亦然。ACLEI认为,该法案将有效地实现便利获取有价值的数据以用于执法调查的目的,同时确保有适当的保障措施。

参考来源:

https://www.easyaq.com/

 

CDN 服务商和云服务公司加入安全路由倡议

BGP 是互联网核心基础设施的组成部分,它的路由泄露会导致一个网络的流量被重定向路由经过其它网络。六年前成立的 Mutually Agreed Norms for Routing Security(MANRS) 就是旨在解决这个问题。现在,主要 CDN 服务商和云计算公司亚马逊、Google、微软、Facebook、Akamai、Cloudflare、 Netflix 和 VeriSign 等都加入到了这一安全路由倡议,利用多种方法阻止流量劫持和路由攻击。MANRS 的成员包括了近 300 家网络运营商和 48 个互联网交换点。

参考来源:

https://www.solidot.org/story?sid=64026

联系站长租广告位!

中国首席信息安全官