网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】微软发布紧急安全更新 修复 Windows 10/Server 中的安全漏洞

2020-07-03 09:30 推荐: 浏览: 43 views 字号:

摘要: ——更多安全资讯和情报,可关注微信公众号:安全帮—— Facebook再曝隐私漏洞:与开发者超时分享用户数据 在“剑桥分析丑闻”遭到曝光后,Facebook曾经承诺在与外部开发者分享用户数据时施加时间限制,但实际期限却超出他们当初的承诺。该公司之前表示,如果用...

——更多安全资讯和情报,可关注微信公众号:安全帮——

Facebook再曝隐私漏洞:与开发者超时分享用户数据

在“剑桥分析丑闻”遭到曝光后,Facebook曾经承诺在与外部开发者分享用户数据时施加时间限制,但实际期限却超出他们当初的承诺。该公司之前表示,如果用户超过90天未与开发者互动,就将阻止该应用获取用户数据。届时,开发者需要重新获得许可才能再次获得电子邮箱、生日和所在城市等数据的访问权。参考来源:

https://tech.163.com/20/0702/09/FGH82URV000999LD.html

 

微软发布紧急安全更新 修复 Windows 10/Server 中的安全漏洞

距离本月的补丁星期二活动日还有大约两周时间,但由于在 Windows 10 以及 Windows Server 中发现了安全漏洞,微软7月1日发布了两个紧急安全更新。微软在安全公告中写道:“微软Windows Codecs Library处理内存中对象的方式存在远程代码执行漏洞。成功利用该漏洞的攻击者可以获取信息,进一步危害用户的系统。”

参考来源:

http://hackernews.cc/archives/31333

 

SAML身份验证中的身份验证绕过漏洞

安全声明标记语言(SAML)是用于根据用户在另一上下文中的会话将其登录到当前应用程序中的标准。6月29日, 白帽汇安全研究院监测发现 Palo Alto 官方发布了 SAML 身份验证机制绕过的风险通告,该漏洞编号为 CVE-2020-2021,漏洞等级:严重。未经身份验证的远程攻击者可以通过该漏洞绕过SAML身份验证机制访问受保护的资源。

参考来源:

https://nosec.org/home/detail/4490.html

 

Apache Dubbo CVE-2020-1948 补丁可绕过风险通报第三次更新

近期 Apache Dubbo 披露了 Provider 默认反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可构造恶意请求执行任意代码。6 月 30 日白帽汇安全研究院了解到 Apache Dubbo 存在多个漏洞触发点,经过研究发现此次的多个漏洞触发点能够造成严重影响,建议客户尽快使用缓解方案缓解该漏洞造成的影响,目前官方尚未发布补丁修复该问题。

参考来源:

https://nosec.org/home/detail/4496.html

 

Treck 0Day漏洞影响全球数亿物联网设备

研究人员在Treck开发的TCP / IP软件库中发现了19个新的零日漏洞。名为Ripple20,这些漏洞具有允许控制联网设备的潜力。我国相关安全机关已于近日要求各应急单位"对Treck公司TCP/IP协议系列高危漏洞进行网络安全专项排查防护工作"。黑客可以利用其中的一些漏洞通过网络远程执行代码展开攻击,或在设备中隐藏恶意代码,可彻底损坏入侵设备。

参考来源:

https://nosec.org/home/detail/4492.html

 

EvilQuest Mac 勒索软件具有键盘记录程序,加密钱包窃取功能

近日发现了一种针对macOS用户的罕见的新型勒索软件,称为EvilQuest。 研究人员说,勒索软件是通过各种版本的盗版软件分发的。EvilQuest由安全研究员Dinesh Devadoss首次发现,它超越了针对常规勒索软件的常规加密功能,其中包括能够部署键盘记录程序(用于监视输入到设备中的内容)的能力,以及能够窃取加密货币钱包的功能。

参考来源:

https://threatpost.com/evilquest-mac-ransomware-keylogger-crypto-wallet-stealing/157034/

 

美国国防高级研究计划局DARPA宣布启动漏洞赏金计划

2020 年 7 月至 9 月,美国国防高级研究计划局(DARPA)将与Synack一同启动针对硬件防御的漏洞赏金计划。符合条件的参与者可以对 DARPA 的硬件防御研究 SSITH 展开测试。世界各地的安全研究人员将有机会了解 DARPA 的通过硬件与固件实现的系统安全集成(System Security Integration Through Hardware and Firmware,SSITH)的相关工作。

参考来源:

https://www.freebuf.com/news/239658.html

联系站长租广告位!

中国首席信息安全官