《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 網(wǎng)絡(luò)安全快訊

網(wǎng)絡(luò)安全快訊

2020-09-14
來源: e安在線

  1,、Apache Cocoon XML外部實(shí)體注入漏洞(CVE-2020-11991)

  9月11日 Apache 軟件基金會發(fā)布安全公告,修復(fù)了 Apache Cocoon xml外部實(shí)體注入漏洞(CVE-2020-11991),。Apache Cocoon 是一個(gè)基于 Spring 框架的圍繞分離理念建立的構(gòu)架,,在這種框架下的所有處理都被預(yù)先定義好的處理組件線性連接起來,,能夠?qū)⑤斎牒彤a(chǎn)生的輸出按照流水線順序處理,。攻擊者可以使用包括外部系統(tǒng)實(shí)體在內(nèi)的特制 xml 來訪問服務(wù)器系統(tǒng)上的任何文件。

  參考來源:

  https://nosec.org/home/detail/4564.html

  2,、畢馬威誤刪,,14.5萬個(gè)賬號清零,微軟確認(rèn)數(shù)據(jù)不可恢復(fù)

  云盒子早前發(fā)布了一篇關(guān)于思科忘記刪除前職員賬號和權(quán)限,,導(dǎo)致456個(gè)虛擬機(jī)被刪除,,結(jié)果沒過幾天畢馬威也因?yàn)槿藶檎`刪除,失去全部員工的賬號和團(tuán)隊(duì)溝通數(shù)據(jù),。起因是畢馬威在刪除一個(gè)離職員工的賬號時(shí),,誤將刪除操作覆蓋到畢馬威所有員工賬號,導(dǎo)致14.5萬個(gè)員工賬號被一鍵清除,,還包括了日常溝通,、語音和視頻會議以及發(fā)送資料文檔等。

  參考來源:

  https://dy.163.com/article/FMBN25V20511A5GF.html

  3,、首個(gè)國產(chǎn)超導(dǎo)量子計(jì)算機(jī)云平臺上線

  據(jù)外媒TechCrunch報(bào)道,,TikTok已經(jīng)修復(fù)了其Android應(yīng)用中的四個(gè)安全漏洞,這些漏洞可能會導(dǎo)致用戶賬號被劫持,。應(yīng)用安全啟動公司Oversecure發(fā)現(xiàn)了這些漏洞,這些漏洞可能會讓同一設(shè)備上的惡意應(yīng)用從TikTok應(yīng)用內(nèi)部竊取敏感文件如會話令牌,。會話令牌是一種可讓用戶登錄而無需再輸入密碼的小文件,,如果被盜,這些令牌可以讓攻擊者在不需要密碼的情況下訪問用戶的賬戶,。

  參考來源:

  https://www.cnbeta.com/articles/tech/1028261.htm

  4,、英特爾Coffee Lake和AMD Zen + / Zen 2均被發(fā)現(xiàn)全新安全漏洞

  來自阿姆斯特丹的研究人員分享了有關(guān)最新AMD和Intel處理器中新的Spectre式推測執(zhí)行漏洞的詳細(xì)信息。它被稱為“ 盲目的 ”,,它使攻擊者能夠在“幽靈”時(shí)代“失明”,。也就是說,鑒于內(nèi)核中的緩沖區(qū)溢出很簡單,,并且沒有其他信息泄漏漏洞,,BlindSide可以在推測性執(zhí)行域中進(jìn)行BROP式攻擊,以反復(fù)探查和隨機(jī)化內(nèi)核地址空間,,制作任意內(nèi)存讀取小工具,,并實(shí)現(xiàn)可靠的利用。

  參考來源:

  https://finance.sina.cn/stock/relnews/us/2020-09-13/detail-iivhuipp4108293.d.html

  5,、國家計(jì)算機(jī)病毒應(yīng)急處理中心監(jiān)測發(fā)現(xiàn)十四款違法移動應(yīng)用

  國家計(jì)算機(jī)病毒應(yīng)急處理中心近期在“凈網(wǎng)2020”專項(xiàng)行動中通過互聯(lián)網(wǎng)監(jiān)測發(fā)現(xiàn),,多款游戲類移動應(yīng)用存在隱私不合規(guī)行為,違反《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定,,涉嫌超范圍采集個(gè)人隱私信息,。包括在 App 首次運(yùn)行時(shí)未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則,,或未向用戶明示申請的全部隱私權(quán)限,未逐一列出收集使用個(gè)人信息的目的,、方式,、范圍等。

  參考來源:

  https://www.secrss.com/articles/25491

  6,、德國威步公司旗下工業(yè)安全軟件被爆6個(gè)嚴(yán)重漏洞

  近日安全人員在威步(Wibu-Systems)的CodeMeter第三方許可證管理組件中發(fā)現(xiàn)了六個(gè)關(guān)鍵漏洞,,這些漏洞可能使眾多行業(yè)的用戶面臨操作技術(shù)(OT)網(wǎng)絡(luò)的接管。這些漏洞可通過網(wǎng)絡(luò)釣魚活動加以利用,,也可由攻擊者直接利用,,攻擊者可以對用戶環(huán)境進(jìn)行指紋識別,以修改現(xiàn)有軟件許可證或注入惡意許可證,,從而導(dǎo)致設(shè)備和進(jìn)程崩潰,。

  參考來源:

  https://www.secrss.com/articles/25458


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。