每日安全简讯(20220818)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 英特尔CPU构架漏洞影响大多数第10至12代英特尔CPU
研究人员在英特尔 CPU 中发现了一个名为的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他秘密信息。 Leak(CVE-2022-21233) 是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。与Meltdown和Spectre不同, Leak 是一个 架构漏洞,这意味着敏感数据会在不依赖侧信道攻击的情况下被泄露
https://securityaffairs.co/wordpress/134478/security/aepic-leak-architecturally-flaw.html
2 谷歌在Chrome 104版本中修复了零日漏洞
谷歌周二宣布的 Chrome 104 更新修补了 11 个漏洞,其中包括已在攻击中被利用的零日漏洞。该公司将被利用的缺陷描述为与 Intents 组件中不受信任的输入验证不足有关的高严重性问题。安全漏洞被跟踪为CVE-2022-2856。这是这家互联网巨头在 2022 年修补的第五个 Chrome 零日漏洞。
https://www.securityweek.com/google-patches-fifth-exploited-chrome-zero-day-2022
3 微软将在下个月默认禁用IE和Edge中的TLS1.0/1.1
微软已宣布下个月(2022 年 9 月 13 日)将在 Internet Explorer 和 Edge 中默认禁用 TLS 1.0 和 1.1,此前该公司因疫情而推迟了目标日期。该公司在 2018 年 10 月透露,它希望在 2020 年上半年在自己的浏览器中禁用旧式 TLS,但疫情的导致延迟,以便让组织为过渡到更新做准备TLS。
https://news.softpedia.com/news/microsoft-to-disable-tls-1-0-and-1-1-next-month-535935.shtml
4 研究人员发现多个影响UWB和RTLS通信的漏洞
安全研究人员发现了多个影响 UWB(超宽带)RTLS(实时定位系统)的漏洞,使威胁参与者能够进行中间人攻击并操纵标签地理位置数据。RTLS 技术广泛用于工业环境、公共交通、医疗保健和智慧城市应用。它的主要作用是通过使用跟踪标签、信号接收锚和中央处理系统定义地理围栏区域来协助安全。篡改危险区域的限制或人们在这些环境中的位置可能会对他们的健康和安全产生可怕的后果。
https://www.bleepingcomputer.com/news/security/rtls-systems-vulnerable-to-mitm-attacks-location-manipulation/
5 Zoom修复了在DEF CON上披露的两个提权漏洞
Zoom 上周发布了 macOS 更新,以修复其 macOS 应用程序中在 DEF CON 会议上披露的两个高严重性缺陷。安全研究员 Patrick Wardle 在 DEF CON 会议上的“You're Muted Rooted”演讲中披露了这些漏洞的技术细节。在他的演讲中,披露了几个关键的安全漏洞,本地无特权的攻击者可以利用这些漏洞来实现对设备的 root 访问。
https://securityaffairs.co/wordpress/134468/security/zoom-macos-app-flaws.html
6 交易网站CS.MONEY约600万美元用户资产遭受黑客攻击被盗
CS.MONEY是Steam游戏CS:GO的最大的皮肤交易平台之一,在一次网络攻击被黑客掠夺 20,000 件价值约 6,000,000 美元的物品后,其网站已下线。CS.MONEY 是此类交易中最大的网站之一,管理的总资产价值 16,500,000 美元,攻击后跌至 10,500,000 美元。媒体联系了 Valve(Steam母公司)询问他们是否会帮助解决这个问题,但目前尚未收到回复。
https://www.bleepingcomputer.com/news/security/cs-go-trading-site-hacked-to-steal-6-million-worth-of-skins/
页:
[1]