赛灵思SoC存在未修复的任意代码实行漏洞;加拿大萨斯卡通市遭BEC诈骗损失104万美金

发布时间 2019-08-21
1、加拿大萨斯卡通市遭BEC诈骗损失104万美金


据当地资讯报道,加拿大萨斯卡通市成为BEC诈骗的最新受害者。犯罪分子冒充艾伦建筑企业(Allan Construction)的首席财务官,向市政财务部门的员工发送电子邮件要求更改银行账户号码并付款。该企业签订了一座桥梁的修复工程合同。财务人员因此在8月7日或8日左右支付了104万美金。8月12日这一骗局被发现,执法机构和金融当局试图撤销交易并收回资金,目前已收回约4万美金。


原文链接:https://www.bleepingcomputer.com/news/security/scammer-tricks-city-into-1-million-wire-transfer/


2、黑客利用虚假NordVPN网站分发银行木马Bolik



银行木马Bolik背后的攻击者又回来了,这一次他们通过虚假的NordVPN网站继续分发恶意App。该盗版网站nord-vpn[.]club几乎完美地克隆了官方网站NordVPN.com,并且具有合法的SSL证书,该证书由开放式证书颁发机构Let's Encrypt于8月3日颁发,有效期到11月1日。win32.bolik.2木马是bolik.1的改进版本,具有多组件多态性文件病毒的特性,攻击者可利用该木马实行Web注入、流量截获、键盘记录以及从不同的银行客户端窃取信息。


原文链接:https://www.bleepingcomputer.com/news/security/hackers-use-fake-nordvpn-website-to-deliver-banking-trojan/


3、GOOGLENest智能摄像头被曝存在8个安全漏洞


GOOGLENest Cam IQ室内摄像头被曝存在8个安全漏洞,可用于劫持或破坏设备。这些漏洞是由思科Talos研究人员Lilith Wyatt和Claudio Bozzato发现的。漏洞范围包括DoS(CVE-2019-5043)、信息泄露(CVE-2019-5034和CVE-2019-5040)、任意代码实行(CVE-2019-5038和CVE-2019-5039)、可导致暴力破解攻击的漏洞(CVE-2019-5035)以及证书加载错误(CVE-2019-5036和CVE-2019-5037)。GOOGLE表示已经修复了这些漏洞,修复补丁将自动推送到设备中。


原文链接:https://www.zdnet.com/article/vulnerabilities-in-google-nest-cam-iq-can-be-used-to-hijack-your-camera/


4、VideoLan发布VLC播放器更新,修复13个漏洞


VideoLan发布VLC媒体播放器的新版本3.0.8,修复了13个安全漏洞。漏洞范围包括缓冲区溢出、use-after-free、空指针解引用以及除数为0。大部分漏洞都是由VLC开发人员直接发现的。根据VideoLan的安全公告,远程攻击者可通过诱使用户打开恶意文件来触发崩溃或在登录用户的安全上下文中实行代码。该新版本可用于Windows、Mac和Linux平台,建议用户尽快更新。

原文链接:https://www.bleepingcomputer.com/news/security/vlc-media-player-308-released-with-13-security-fixes/

5、赛灵思SoC存在未修复的任意代码实行漏洞



F-Secure发现Xilinx(赛灵思)的Zynq UltraScale+SOC存在两个漏洞。该系列的产品包括SOC、MPSOC以及RFSOC,通常用于汽车、航空、消费电子、工业以及军事部件中。F-Secure表示,这些SOC的加密安全引导模式包含两个漏洞,其中一个漏洞无法通过App更新修复,需要供应商提供“新的Silicon版本”。利用这两个漏洞需要物理访问权限。赛灵思表示它修改了技术手册,建议客户使用更安全的硬件根信任(Hwrot)安全引导模式,而不是只使用较弱的加密模式。


原文链接:https://www.zdnet.com/article/unpatchable-security-flaw-found-in-popular-soc-boards/


6、研究人员公开发布iOS 12.4的免费越狱工具


一位匿名的研究人员以pwn20wnd的别名在Github上免费发布了iOS 12.4的越狱工具。该工具利用了iOS内核中的一个UAF漏洞(CVE-2019-8605),此漏洞曾在iOS 12.3中被修复,但苹果在iOS 12.4中重新引入了该漏洞。新的越狱工具可在更新的iOS设备上工作,包括iphone xs、xs max和xr或2019 iPad mini和ipad air,不论该设备是运行iOS 12.4还是iOS 12.2或更早版本,但在iOS 12.3上无法工作。


原文链接:https://thehackernews.com/2019/08/ios-iphone-jailbreak.html