网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】Zoom 再爆安全漏洞:会议默认使用 6 位数字密码 能在几分钟内破解

2020-07-31 09:30 推荐: 浏览: 22 views 字号:

摘要: ——更多安全资讯和情报,可关注微信公众号:安全帮—— 化妆品巨头雅芳泄漏1900万条数据记录 全球化妆品巨头雅芳(Avon)最近因云服务器配置错误泄漏了1900万条记录,其中包括个人信息和技术日志。SafetyDetectives的研究人员发现雅芳在Azure...

——更多安全资讯和情报,可关注微信公众号:安全帮——

化妆品巨头雅芳泄漏1900万条数据记录

全球化妆品巨头雅芳(Avon)最近因云服务器配置错误泄漏了1900万条记录,其中包括个人信息和技术日志。SafetyDetectives的研究人员发现雅芳在Azure服务器上的Elasticsearch数据库公开暴露,且没有密码保护或加密。SafetyDetectives随后解释称:“该漏洞意味着拥有服务器IP地址的任何人都可以访问公司的开放数据库。”

参考来源:

http://hackernews.cc/archives/31309

 

Zoom 再爆安全漏洞:会议默认使用 6 位数字密码 能在几分钟内破解

7月30日,安全研究人员公布了Zoom的一个关键安全漏洞。Zoom的网络客户端允许任何人检查会议的密码是否正确,没有任何尝试次数的限制。Zoom 会议默认由 6 位数字密码保护,所以可能出现100万个不同的密码。攻击者可以写一个小的 Python 代码来尝试所有的 100 万个密码,并在几分钟内找到正确的密码。

参考来源:

http://hackernews.cc/archives/31467

 

恶意程序使用 Dogecoin API 寻找 C&C 服务器地址

据安全公司Intezer Labs报告,一种新的恶意程序Doki会使用Dogecoin API寻找C&C服务器地址。研究人员称,Doki由黑客组织Ngrok控制,使用硬编码钱包地址去查询 Dogecoin 区块资源管理器 dogechain.info API,对返回的值执行 SHA256,提取前 12 个字符作为子域名使用,将子域名结合 ddns.net 获得完整地址。

参考来源:

https://www.solidot.org/story?sid=65087

 

安全启动存在严重漏洞,几乎所有LinuxWindows设备受影响

7月30日,网络安全研究人员披露了一个位于GRUB2引导程序中的高风险漏洞BootHole(CVE-2020-10713),该漏洞影响了全球数十亿设备,几乎波及所有正在运行Linux发行版或Windows系统的服务器、工作站,笔记本电脑,台式机及IoT系统。一旦被利用,该漏洞可让攻击者避开安全启动功能,并获得高度特权,隐身访问目标系统。

参考来源:

https://www.freebuf.com/news/245060.html

 

grub2 缓冲区错误漏洞

grub2是GNU计划的一款Linux系统引导程序。grub2中存在缓冲区错误漏洞(漏洞编号为CVE-2020-14309,中危)。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。目前厂商已发布升级补丁以修复漏洞。

参考来源:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1738

Seafile seafile-client 安全漏洞

海文互知网络技术 Seafile是海文互知网络技术公司的一款开源的企业云盘。该产品具有Markdown WYSIWYG编辑,Wiki,文件标签等功能。seafile-client是一款Seafile客户端应用程序。Seafile seafile-client 7.0.8版本中存在安全漏洞(漏洞编号为CVE-2020-16143,中危),该漏洞源于程序从当前工作目录中加载exchndl.dll文件。攻击者可利用该漏洞实施DLL劫持攻击。

参考来源:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1735

 

约会应用程序缺陷可能让黑客阅读用户私人信息

Check Point的研究人员发现,OkCupid的Android和web应用程序存在缺陷,可能会导致用户的认证令牌、用户ID以及其他敏感信息,如电子邮件地址、偏好、性取向和其他私人数据被盗。Check Point的研究人员负责地将他们的发现与OkCupid分享后,Match Group旗下的公司修复了这些问题,声明“没有一个用户受到潜在漏洞的影响。”

参考来源:

https://tech.163.com/20/0629/10/FG9IJJLS00097U7R.html

联系站长租广告位!

中国首席信息安全官