Discord修复其桌面应用中可导致远程代码实行的漏洞;Talos披露F2FS工具集中存在代码实行和信息泄露漏洞

发布时间 2020-10-20
1.Discord修复其桌面应用中可导致远程代码实行的漏洞


1.jpg


Discord已修复桌面版应用程序中的一个关键漏洞,可导致远程代码实行(RCE)攻击。该漏洞存在于Discon桌面应用程序使用的App框架Electron中,其contextIsolation被设置为false,这允许应用程序外部的JavaScript代码影响内部代码,例如web页面外部的JavaScript代码使用node.js功能。该漏洞被追踪为CVE-2020-15174,与其他两个漏洞结合利用可绕过导航限制并使用iframe XSS漏洞访问包含恶意代码的网页来实行RCE攻击。


原文链接:

https://www.zdnet.com/article/discord-desktop-app-vulnerable-to-remote-code-execution-bug/


2.Talos披露F2FS工具集中存在代码实行和信息泄露漏洞


2.png


思科Talos发现F2FS工具集中存在多个代码实行和信息泄露漏洞。F2FS是在嵌入式设备中常见的文件系统工具集,可创建、验证和修复Flash-Friendly File System文件。此次披露的漏洞为F2fs-Tools F2fs.Fsck文件系统检查信息泄露漏洞(CVE-2020-6104)、F2fs-Tools F2fs.Fsck多个设备代码实行漏洞(CVE-2020-6105)、F2fs-Tools F2fs.Fsck init_node_manager信息泄露漏洞(CVE-2020-6106)、F2fs-Tools F2fs.Fsck dev_read信息泄露漏洞(CVE-2020-6107)和F2fs-Tools F2fs.Fsck多个设备代码实行漏洞(CVE-2020-6108)。


原文链接:

https://blog.talosintelligence.com/2020/10/vuln-spotlight-f2fs-tools-.html


3.黑客声称已入侵5万台家用摄像头并在暗网公开部分录像


3.png


一个黑客组织声称其已入侵5万台家用摄像头,并在成人网站上发布部分录像。泄露的大部分视频来自新加坡,此外还涉及到来自泰国、韩国和加拿大。据The New Paper报道,现已有70多名成员支付了150美金的订阅费,共享了超过3 TB的剪辑视频。目前仍不清楚黑客如何破坏IP摄像机,其可能利用了设备中漏洞,或者只是通过猜测弱密码。


原文链接:

https://securityaffairs.co/wordpress/109671/hacking/50000-home-cameras-hacked.html


4.伊朗遭到大规模网络攻击,两个重要机构受到影响


4.png


伊朗政府IT部门报告其遭到大规模网络攻击,两个重要机构受到影响。据一家资讯社报告,攻击事件已损坏伊朗港口的电子基础设施。美国电台Radio Farda表示,此次攻击的目标很可能是伊朗的港口、银行和海事组织,但该消息尚未得到证实。伊朗政府IT部门发言人Abolghasem Sadeghi表示,这次攻击导致多个政府机构暂时停止互联网服务,以避免进一步的破坏。除此之外,伊朗政府并未提供关于该事件的更多细节。


原文链接:

https://www.ehackingnews.com/2020/10/iran-suffers-largescale-cyberattacks.html


5.黑客以Coinbase为诱饵通过OAuth应用发起钓鱼攻击


5.jpg


黑客以Coinbase主题为诱饵,通过OAuth应用发起新一轮钓鱼攻击。该钓鱼邮件伪装为新服务条款,Coinbase用户必须阅读并接受才能继续使用该服务。当用户点击阅读并接受链接时,将被重定向到合法的微软网站来登录其帐户。成功登录后系统会提示是否允许coinbaseterms的应用程序访问他们的账户。一旦用户点击是,黑客将拥有读取帐户配置文件及其电子邮件的完全访问权限。


原文链接:

https://www.bleepingcomputer.com/news/microsoft/coinbase-phishing-hijacks-microsoft-365-accounts-via-oauth-app/


6.Devolutions发布2020年中小型企业网络安全状况报告


6.jpg


Devolutions发布2020年中小型企业网络安全状况报告。为了更深入地了解中小型企业对网络安全的观念,Devolutions对来自IT、医疗保健、教育和金融等各个行业的182个中小型企业进行了调查。调查发现,62%的中小企业每年至少进行一次安全审核,14%的中小企业从不进行审核;57%的中小型企业表示在过去三年中遭受了网络钓鱼攻击;47%的企业允许终端用户在个人和专业帐户中重复使用密码。    


原文链接:

https://www.helpnetsecurity.com/2020/10/15/smbs-size-doesnt-make-them-immune-to-cyberattacks/