Apple安全更新,修复影响iOS和iPadOS的11个漏洞;Gmail在24小时内发生第二次中断,目前原因未知

发布时间 2020-12-16

1.Apple安全更新,修复影响iOS和iPadOS的11个漏洞


1.jpg


Apple发布了iOS和iPadOS的安全更新,修复包括代码实行漏洞在内的11个漏洞。此次修复的最为严重的是代码实行漏洞(CVE-2020-27943和CVE-2020-27944),攻击者可利用恶意字体文件在Apple 苹果和iPad上实行恶意代码。其次为三个影响了ImageIO编程接口框架的漏洞CVE-2020-29617、CVE-2020-29618和CVE-2020-29619,攻击者可利用这些漏洞通过特制图像实行任意代码。


原文链接:

https://securityaffairs.co/wordpress/112304/security/ios-ipados-flaws.html


2.Golang XML解析器存在可绕过SAML身份验证的漏洞


2.jpg


Mattermost与Golang联合披露了Golang XML解析器中的3个关键漏洞。这些漏洞分别为Go编码/XML中的XML属性不稳定(CVE-2020-29509)、指令不稳定(CVE-2020-29510)和元素不稳定(CVE-2020-29511)漏洞。这三个漏洞是密切相关的,都是由于恶意XML标记在通过Go的解码器和编码器实现的往返过程中发生了变异所导致的。攻击者可利用这些漏洞欺骗依赖于XML解析器的各种SAML实现,以完全绕开SAML身份验证。  


原文链接:

https://www.bleepingcomputer.com/news/security/critical-golang-xml-parser-bugs-can-cause-saml-authentication-bypass/


3.Gmail在24小时内发生第二次中断,目前原因未知


3.png


Gmail在24小时内又发生中断,用户可以访问其电子邮件,但无法发送给其他Gmail用户。当用户将电子邮件发送到Gmail地址时,会马上收到一条传递失败消息,并提示找不到地址。但是,向使用自定义域的GSuite客户发送电子邮件没有任何问题。根据DownDetector数据,此次Gmail中断主要影响了美国的用户。目前,谷歌声明问题已解决,但中断原因尚不明确。


原文链接:

https://www.bleepingcomputer.com/news/google/gmail-hit-by-a-second-outage-within-a-single-day/


4.邮轮企业Hurtigruten遭到攻击,导致关键系统宕机


4.png


挪威邮轮企业Hurtigruten在12月14日遭到了网络攻击,导致多个关键系统宕机。该企业主要在在挪威海岸经营渡轮,并在北极和南极进行飞行。该企业表示,预计此次攻击不会对企业造成重大的财务影响,但目前有几个关键系统出现故障。Hurtigruten的IT主管Ole-Marius Moe-Helgesen在表示,其全球IT基础架构似乎受到了影响,而企业也已采取综合措施以限制攻击造成的危害。


原文链接:

https://www.hospitalityireland.com/general-industry/norwegian-cruise-company-hurtigruten-experiences-cyber-attack-116826


5.unit42发布木马PyMICROPSIA的分析报告


5.png


unit42发布有关信息窃取木马PyMICROPSIA的分析报告。该木马来自针对中东地区的黑客组织AridViper,与恶意App家族MICROPSIA有关。PyMICROPSIA具有丰富的信息窃取和控制功能,包括文件上传、有效负载下载和实行、浏览器凭证窃取、清除浏览历史记录和配置文件、截屏、键盘记录和实行命令等功能。它由Python编写,使用PyInstaller制成Windows可实行文件,并通过运行循环来实现其主要功能。


原文链接:

https://unit42.paloaltonetworks.com/pymicropsia/


6.Bugcrowd发布未来十年众包安全的预测报告


6.png


Bugcrowd发布了未来十年众包安全的预测报告。该报告全面先容了COVID-19如何重新定义跨行业的网络安全实践。与2019年全年相比,前十个月提交的漏洞数量增加了24%。在2020年提交的十大漏洞中,有八个也出现在2019年列表中,这说明管理已知风险仍然是大多数企业面临的挑战。此外,提交的最多的漏洞是由于访问控制造成的破坏,其次是跨站点脚本漏洞(XSS)。


原文链接:

https://www.bugcrowd.com/resources/reports/bugcrowd-priority-one-report/