每日安全简讯(20231116)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 英特尔修复CPU中的安全漏洞
英特尔修复了其CPU中的一个高危漏洞,该漏洞被标记为CVE-2023-23583,攻击者可以利用此漏洞(来提升特权,获取对敏感信息的访问权,或触发拒绝服务状态。英特尔表示,英特尔已经确定了使用冗余REX前缀编码的指令(REP MOVSB)可能导致不可预测的系统行为,从而导致系统崩溃、挂起,或在一些有限的场景中可能允许特权从CPL3升级到CPL0。英特尔发布了微代码更新,以解决这个问题,并建议用户更新其BIOS、系统操作系统和驱动程序。
https://www.bleepingcomputer.com/news/security/new-reptar-cpu-flaw-impacts-intel-desktop-and-server-systems/
2 VMWare Cloud Director存在身份验证绕过漏洞
VMware Cloud Director存在一个身份验证绕过漏洞,未经身份验证的攻击者可以远程利用这个漏洞进行低复杂性攻击,而无需用户交互。目前VMware尚未发布安全更新,该公司为管理员提供了一个临时解决方法。VMware发布安全建议VMSA-2023-0026,以帮助客户了解该问题以及哪种升级路径将解决该问题。
https://www.bleepingcomputer.com/news/security/vmware-discloses-critical-vcd-appliance-auth-bypass-with-no-patch/
3 WordPress插件WP Fastest Cache存在SQL注入漏洞
WordPress插件WP Fastest Cache是一个用于加速页面加载、提高访客体验并提升网站在Google搜索中排名的缓存插件。根据WordPress的统计数据,该插件已经被超过一百万个站点使用。根据WordPress的下载统计数据显示,超过60万个网站仍在运行受安全漏洞影响的版本,这些网站存在潜在的风险。研究人员披露了该插件中存在的SQL注入漏洞详细信息,该漏洞被跟踪为CVE-2023-6063,评分为8.6,影响1.2.2版本之前的版本。WP Fastest Cache的开发者已在1.2.2版本中提供了修复措施,该版本已经发布,建议使用该插件的所有用户尽快升级至最新版本。
https://www.bleepingcomputer.com/news/security/wp-fastest-cache-plugin-bug-exposes-600k-wordpress-sites-to-attacks/
4 微软于11月的周二补丁日发布安全更新
微软在2023年11月的周二补丁日(Patch Tuesday)发布安全更新,以针对58个安全漏洞(包括5个零日漏洞)进行安全修复。各安全漏洞的类别的数量为:16个权限提升漏洞、6个安全特性绕过漏洞、15个远程代码执行漏洞、6个信息泄露漏洞、5个拒绝服务漏洞、11个欺骗漏洞。5个零日漏洞中有3个在攻击中被利用,3个被公开披露。其中3个被利用的零日漏洞分别是:Windows Cloud Files Mini Filter Driver权限提升漏洞(CVE-2023-36036)、Windows DWM Core Library权限提升漏洞(CVE-2023-36033)、Windows SmartScreen安全特性绕过漏洞(CVE-2023-36025)。其余两个零日漏洞是:Microsoft Office安全特性绕过漏洞(CVE-2023-36413)、ASP.NET Core拒绝服务漏洞(CVE-2023-36038),这两个漏洞被公开披露但未被攻击者利用。
https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2023-patch-tuesday-fixes-5-zero-days-58-flaws/
5 美国执法机关查封IPStorm代理僵尸网络
美国司法部宣布,联邦调查局(FBI)已经查封了用于提供代理服务的网络基础设施,该名称为IPStorm。美国司法部将IPStorm描述为一个代理僵尸网络,攻击者及网络犯罪分子能够利用该网络通过受感染设备中的流量来躲避封锁并保持匿名。除了在不知情中成为网络犯罪的帮凶外,IPStorm受害者的网络还会被恶意行为者劫持,并面临着接收更危险的载荷的风险。美国司法部称谢尔盖·马基宁(Sergei Makinin)与此案有关,Makinin从2019年6月至2022年12月期间开发并部署了恶意软件,以感染全球范围内的数千个互联网连接设备。僵尸网络的主要目的是将受感染的设备变成代理,并通过其网站提供对这些代理的访问,以此谋取利益。谢尔盖·马基宁(Sergei Makinin)对与计算机欺诈相关的三项指控表示认罪,面临最高10年的监禁处罚。
https://www.bleepingcomputer.com/news/security/ipstorm-botnet-with-23-000-proxies-for-malicious-traffic-dismantled/
6 Truepill公司泄露230万用户的数据
Truepill是一个面向B2B的药房平台,基于API进行订单履行和递送服务。该公司于2023年8月31日发现了未经授权的网络访问,对事件的调查显示,攻击者在前一天获得了访问权限。攻击者可能访问的数据类型包括姓名、药物类型、人口统计信息、开药的医生姓名。美国卫生与公众服务部民权违规门户网站的数据显示,此次事件影响了2364359人。
https://www.bleepingcomputer.com/news/security/pharmacy-provider-truepill-data-breach-hits-23-million-customers/
页:
[1]