《维他命》每日安全简讯20181115

发布时间 2018-11-15
1、研究团队披露7种新熔毁和幽灵攻击,Intel、AMD和ARM均受影响



由9名研究人员组成的研究小组披露了7种新的熔毁和幽灵攻击,其中2种是Meltdown攻击的变种,另外5种是Spectre攻击的变种。三大主要处理器厂商-Intel、AMD和ARM均受影响。该研究小组向Intel、AMD和ARM报告了这些漏洞,其中Intel和ARM已经认可了他们的研究结果。该团队还表示,由于供应商正在努力修复这些问题,他们决定暂不披露相关PoC。

   

原文链接:

https://thehackernews.com/2018/11/meltdown-spectre-vulnerabilities.html


2、脸书再曝新漏洞,或可导致用户私人信息泄露



Imperva研究员Ron Masas发现脸书中的一个新漏洞,或可导致用户及其朋友的私人信息泄露。该漏洞与脸书搜索功能的结果显示有关,根据Masas的说法,显示用户搜索结果的页面包含与每一条搜索结果相关联的iFrame元素,而这些iFrame元素的关联URL易受CSRF攻击。攻击者可以利用该漏洞强迫用户实行任意搜索查询,并获得返回的用户信息。脸书已经修复了该漏洞。

 

 原文链接:

https://thehackernews.com/2018/11/脸书-vulnerability-hack.html


3、安全厂商发布2019年网络安全趋势预测报告



Forcepoint发布2019年网络安全趋势预测报告,报告的主题包括:网络安全中的AI是否已至冬天?大规模的工业物联网中断威胁;生物识别技术中的钓鱼威胁;关于工作场所安全措施监测的法律法规?贸易战与国家支撑的工业间谍活动;边缘计算的前景与阻碍;对合作伙伴的安全信任评级或将越来越重要。完整报告请参考以下链接。

  

原文链接:

https://www.forcepoint.com/blog/insights/2019-forcepoint-cybersecurity-predictions-report


4、在线商店Infowars遭Magecart攻击,约1600名用户疑受影响



荷兰安全研究员Willem de Groot发现在线商店Infowars感染了用于窃取用户信用卡信息的恶意脚本Magecart。该恶意脚本在Infowars上存在了大约24个小时,随后就被Infowars删除,约1600名用户可能受到影响。研究人员称这些Magecart代码隐藏在谷歌 Analytics代码块中,仅在用户结账时激活,每隔1.5秒抓取一次结账表单中的字段内容,并发送至位于立陶宛的远程服务器google-analyitics[.]org。研究人员还称这些恶意代码的风格与RiskIQ和Flashpoint的Magecart攻击报告中提及的7个犯罪团伙都不相同。

  

原文链接:

https://www.zdnet.com/article/card-skimming-malware-removed-from-infowars-online-store/


5、Adobe发布11月安全更新,修复Flash Player等产品中的3个漏洞




Adobe发布2018年11月的月度安全更新,分别修复了Acrobat reader、Flash Player及Photoshop CC中的安全漏洞。其中Acrobat reader中的漏洞(CVE-2018-15979)可导致用户的NTLM哈希密码泄露,并且该漏洞的PoC公开可用。Flash Player中的漏洞(CVE-2018-15978)和Photoshop CC中的漏洞(CVE-2018-15980)都是可导致信息泄露的越界读漏洞。建议用户尽快进行更新。

  

原文链接:

https://www.bleepingcomputer.com/news/security/adobe-releases-security-update-for-acrobat-vulnerability-with-public-poc/


6、SAP发布11月安全更新,共修复11个漏洞



本周二SAP发布了2018年11月安全更新,修复了多款产品中的11个漏洞。漏洞范围包括代码注入、XSS、XXE、SSRF、拒绝服务、缺少XML验证和URL重定向等。其中较严重的漏洞包括SAP HANA Streaming Analytics的Spring框架库中的远程代码实行漏洞(CVE-2018-1270和CVE-2018-1275)以及SAP Fiori客户端中的DoS漏洞(CVE-2018-2488)等。

  

原文链接:

https://www.securityweek.com/sap-patches-critical-vulnerability-hana-streaming-analytics


声明:本资讯由澳门浦京娱乐场维他命安全小组翻译和整理