MicroSoft发布最大规模周二补丁修复129个漏洞;UPnP协议中的漏洞CallStranger,可导致数据泄露或DDoS攻击

发布时间 2020-06-10

1.MicroSoft发布最大规模的周二补丁程序,共修复129个漏洞



MicroSoft于6月9日发布了最大规模的星期二补丁程序,共修复了微软产品中的129个漏洞。其中,微软 Edge和VBScript引擎中存在三个较为严重的漏洞,分别是微软浏览器内存损坏漏洞(CVE-2020-1219)、VBScript远程实行代码漏洞(CVE-2020-1216)和VBScript远程实行代码漏洞(CVE-2020-1216),这些漏洞可被利用来实行远程代码实行。还有一些较为严重的漏洞可被用于网络钓鱼攻击以诱使用户下载恶意文件,分别是GDI +远程实行代码漏洞(CVE-2020-1248)、Windows OLE远程实行代码漏洞(CVE-2020-1281)、和LNK远程实行代码漏洞(CVE-2020-1299)。


原文链接:

https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2020-patch-tuesday-largest-ever-with-129-fixes/


2.UPnP协议中的漏洞CallStranger,可导致数据泄露或DDoS攻击



安全工程师Yunus?adirci发现在通用即插即用协议(Universal Plug and Play,UPnP)中存在名为CallStranger的漏洞(CVE-2020-12695),可能导致数据泄露、DDoS攻击以及对设备内部端口的扫描。该漏洞可能会影响所有4月17日之前版本的UPnP设备,包括Windows 10系统、路由器、接入点、打印机、游戏机、门铃电话、媒体应用程序和设备、相机、电视机等。该漏洞是由UPnP SUBSCRIBE函数中的标头值回调引起的,攻击者可以构造一个含有格式错误的标头值回调的TCP数据包发送到远端设备,来利用互联网上支撑UPnP协议的智能设备。


原文链接:

https://www.bleepingcomputer.com/news/security/callstranger-upnp-bug-allows-data-theft-ddos-attacks-lan-scans/


3.应用Digilocker存在漏洞,可被利用绕过身份验证



由印度电子和IT部门根据其Digital India计划提供的在线服务程序Digilocker存在漏洞,该漏洞可能已经被利用绕过身份验证。安全研究员Mohesh Mohan表示,Digilocker的OTP功能缺乏授权,导致攻击者可以通过提交任何有效用户的详细信息进行OTP验证并登录,也就是说攻击者只需知道用户Aadhaar ID或相关的手机号码或用户名即可访问任何Digilocker帐户。5月10日研究人员向CERT-In报告了此漏洞,5月28日印度政府已将其修复。        


原文链接:

https://securityaffairs.co/wordpress/104459/breaking-news/digilocker-critical-falw.html


4.本田企业遭到勒索AppSNAKE攻击,其日本和欧洲分企业受到影响



本田企业于本周一发现,其欧洲和日本的分企业遭到了勒索病毒SNAKE的攻击,并导致IT网络无法正常运行。该企业发言人表示,此次攻击并未影响日本的生产或经销商活动,也没有影响其客户。研究人员对勒索病毒样本进行分析后发现,该勒索App首先会试图解析mds.honda.com域,如果没有将马上退出并不加密任何文件。目前,该企业表示正在调查事件原因,并拒绝透露更多细节。


原文链接:

https://www.bleepingcomputer.com/news/security/honda-investigates-possible-ransomware-attack-networks-impacted/


5.韩国信用协会表示,约90万张韩国信用卡信息在暗网泄露



韩国信用协会本周一表示,约有90万张韩国信用卡信息已被泄露,并在暗网上进行售卖。韩国终审法院说明,被泄露的信用卡中大约有41万张仍在使用中,泄漏的信息包括卡号、有效期和验证码、卡背面的三位数安全码,并不包含密码。韩国当局目前尚未弄清这些信息是如何泄漏的,信用卡银行则表示会将信息泄露问题通知受影响的用户,并建议他们更换新卡。


原文链接:

https://en.yna.co.kr/view/AEN20200608011200325?&web_view=true


6.加拿大企业Fitness Depot遭到Magecart攻击,用户支付信息泄露



加拿大运动器材企业Fitness Depot宣布,上个月企业的电商平台遭到攻击,其客户的个人信息和支付信息泄露。此次泄露信息包括客户的姓名、地址、电子邮件地址、电话号码和信用卡号。Fitness Depot表示,该泄露事件可追溯到2020年2月18日,黑客将恶意代码注入网站,使得用户一旦被重定向到此表单就会在不知情的情况下被复制信息。研究人员分析,此次攻击很可能是来自黑客组织Magecart,其先入侵了该企业的电商平台,并将基于JavaScript的恶意代码注入其结帐页面,最终目标是窃取该企业客户所提交的所有付款或个人信息。


原文链接:

https://www.bleepingcomputer.com/news/security/fitness-depot-hit-by-data-breach-after-isp-fails-to-activate-the-antivirus/