——更多安全资讯和情报,可关注微信公众号:安全帮——

1.Cisco ASA 和 Cisco Firepower 未授权读取文件漏洞

22日,Cisco 公布了关于 Cisco Adaptive Security Appliance(ASA)防火墙设备以及Cisco Firepower Threat Defense(FTD)设备的 web 管理界面存在未授权的目录穿越漏洞和远程任意文件读取漏洞,漏洞编号为CVE-2020-3452。目前相关利用的POC已公布,请受影响企事业单位尽快修复。

参考来源:

https://nosec.org/home/detail/4514.html

 

2.涉及某些华为智能手机的信息泄露漏洞

华为部分智能手机存在一个信息泄露漏洞。系统对于访问某个指定接口的应用鉴权不当。攻击者可以诱使用户安装恶意软件来利用此漏洞,从而获取设备的某些信息。成功利用漏洞可能导致信息泄露,此漏洞的CVE编号为: CVE-2020-9077,华为已发布版本修复该漏洞。

参考来源:

https://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20200722-03-smartphone-cn

 

3.bsdiff4 缓冲区错误漏洞

bsdiff4是一款用于构建修补程序并将其应用于二进制文件的库。bsdiff4 1.2.0之前版本中的修补程序存在缓冲区错误漏洞(CVE-2020-15904),该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作,攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。目前厂商已发布升级补丁。

参考来源:

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1389

 

4.GedMatch在向警方提供用户DNA档案数据后确认数据泄露

GedMatch网站允许用户上传DNA档案数据以追踪家谱。2018年,执法部门在没有事先告知情况下利用该网站将一名连环谋杀案嫌疑人的DNA与网站数据库中100多万份DNA档案进行匹配。本周三,该公司通知用户网站在7月19日和20日遭到了两次安全漏洞的攻击。第二次入侵导致用户设置重置,允许执法部门搜索之前选择退出的用户的个人资料数据。

参考来源:

https://www.diglog.com/story/1013571.html

 

5.​美国政府悬赏200万美元抓捕两名乌克兰黑客

美国国务院和特勤局提供了200万美元的奖励金,以帮助捕获两名乌克兰黑客,这些黑客被控入侵并出售从证券交易委员会窃取的内部公司数据。这项提议已被国务院的《跨国有组织犯罪奖励计划》所涵盖。2017年,美国证券交易委员会称其是2016年网络攻击的受害者,当时,黑客将重点放在其EDGAR归档系统中存储的非公开信息上。

参考来源:

https://www.secrss.com/articles/24114

 

6.推特称黑客访问了 36 个账号的私信

Twitter公司周三表示,上周入侵其系统的黑客很可能已经看到了36个账号的私信内容,其中包括荷兰的一位当选官员。Twitter最新披露的消息可能会让用户对其保护私密信息不被外部人看到的能力失去信心。Twitter此前称,攻击者使用了45个账号发布推文,从8个账号下载大量数据。这两种级别的入侵会导致私信被看到。

参考来源:

https://xw.qq.com/cmsid/20200723A0AWGQ00

 

7.照片“伪装术”愚弄面部识别

芝加哥大学SAND实验室发布了保护个人隐私的系统 Fawkes,Fawkes能对照片进行处理,对其进行像素级别的细微改变,而这种改变人眼无法识别出。用户可以正常使用伪装后的照片在社交网络进行分享,当有人收集这些照片去构建面部识别模型,这种伪装效应难以探测,不会在模型训练中显示错误,但人脸识别系统不能成功识别这个模型。

参考来源:

https://www.solidot.org/story?sid=65023

作者 中国电信安全帮

在线安全服务电商,中国电信北京研究院出品。