MicroSoft发布微码更新,修复Intel CPU中侧信道漏洞;GOOGLE发布Chrome补丁,修复两个被在野利用的0day

发布时间 2020-11-12
1.MicroSoft发布微码更新,修复Intel CPU中侧信道漏洞


1.jpg


MicroSoft已针对Windows 10 20H2、2004、1909发布了Intel微代码更新,以修复Intel CPU中的侧信道漏洞Platypus。该漏洞由格拉茨技术大学、CISPA亥姆霍兹信息安全中心和伯明翰大学的组成的研究团队披露,位于英特尔的运行平均功率限制(RAPL)界面中。研究人员表明,攻击者可以使用RAPL接口监视功耗并推断CPU正在实行哪些指令,从而从内存中窃取敏感数据。此外此次更新还修复了矢量寄存器采样活动中漏洞(CVE-2020-8696)和快速存储前瞻预测器中漏洞(CVE-2020-8698)。


原文链接:

https://www.bleepingcomputer.com/news/microsoft/windows-10-intel-microcode-released-to-fix-new-cpu-security-bugs/


2.GOOGLE发布Chrome补丁,修复两个被在野利用的0day


2.jpg


GOOGLE发布Chrome版本86.0.4240.198,修复两个被在野利用的0day。此次修复的漏洞分别为V8中不适当的实现漏洞(CVE-2020-16013)和Site Isolation中的释放后使用漏洞(CVE-2020-16017),目前尚不清楚这两个漏洞是需要作为漏洞利用链的一部分一起使用还是单独使用。这两个漏洞是过去三周内谷歌在Chrome中修复的第四和第五个0day,之前还有FreeType字体渲染库中漏洞(CVE-2020-15999)、V8 JavaScript引擎中漏洞(CVE-2020-16009)和UI组件中漏洞(CVE-2020-16010)。


原文链接:

https://www.zdnet.com/article/google-patches-two-more-chrome-zero-days/


3.研究人员发现GNOME显示管理器存在本地提权漏洞


3.jpg


研究人员发现GNOME显示管理器(gdm)存在易于利用的本地提权漏洞。GitHub的安全研究员Kevin Backhouse在用来跟踪系统上可用用户的组件AccountsService中发现了 两个漏洞,可导致该组件挂起(CVE-2020-16127)和放弃用户帐户特权(CVE-2020-16126),可通过向其发送延迟的分段错误信号来使守护程序崩溃。攻击者可以利用该漏洞创建具有更高权限的帐户,并以管理员权限(root)运行代码。


原文链接:

https://www.bleepingcomputer.com/news/security/ubuntus-gnome-desktop-could-be-tricked-into-giving-root-access/


4.黑客用脸书链接预览功能绕过黑名单来抓取数据


4.jpg


黑客利用脸书链接预览功能,并使用脸书 API服务器作为代理以避免被列入黑名单,来从互联网上抓取数据。该技术之所以成功,是因为大多数网站运营商都允许脸书服务器抓取其站点的数据,因为这些被收集的数据通常会被用于合法目的。此外,安全企业DataDome发现黑客组织可利用该功能以每小时10000个URL的速度检索链接预览。目前脸书已经改善了Messenger预览API的速率限制。


原文链接:

https://www.zdnet.com/article/脸书-link-preview-feature-used-as-a-proxy-in-website-scraping-scheme/


5.黑客在暗网出售580万条RedDoorz酒店客户的记录


5.jpg


黑客在暗网出售580万条RedDoorz酒店客户的记录。RedDoorz是新加坡的酒店管理和预订平台,在整个东南亚拥有1000多家酒店。黑客本周开始在暗网出售包含580万RedDoorz用户记录的数据库,其中包括用户的电子邮件、bcrypt哈希密码、姓名、性别、个人资料照片的链接、电话号码、辅助电话号码、出生日期和职业,但它不包含任何财务信息。


原文链接:

https://www.bleepingcomputer.com/news/security/58-million-reddoorz-user-records-for-sale-on-hacking-forum/


6.Zscaler发布2020年加密攻击态势的分析报告


6.jpg


Zscaler发布了2020年加密攻击态势的分析报告,揭示了基于加密的威胁将增长260%。此外,该研究还发现COVID-19推动了勒索App攻击的激增,从3月开始勒索App对加密流量的攻击增加了5倍,与COVID相关的威胁激增了30000%;钓鱼攻击次数高达1.93亿次,主要针对制造业(38.6%)、服务业(13.8%)和医疗保健(占10.9%);黑客在绕过检测方面的技术更为复杂,30%的基于SSL的攻击欺骗了受信任的云提供商。


原文链接:

https://www.zscaler.com/press/new-research-shows-attackers-turning-encrypted-attacks-during-pandemic