找回密码
 注册创意安天

每日安全简讯(20191212)

[复制链接]
发表于 2019-12-11 20:34 | 显示全部楼层 |阅读模式
1  密西西比州帕斯卡古拉市遭到勒索软件攻击

攻击发生在11月28日,安全和技术专家正在努力解决这种情况。代理市长Frank Corder周一说,帕斯卡古拉市感染了与该城市基础设施连接的第三方承包商的恶意软件。该情况被该市的IT承包商立即隔离,控制,调查和补救。 没有关键系统遭受数据丢失,也没有为此支付赎金。网络攻击也影响了警察局的计算机系统,该市认为这次袭击不会损害任何个人信息。

帕斯卡古拉.jpg
https://www.govtech.com/security ... somware-Attack.html


2 钓鱼攻击使用OAuth应用劫持Office 365帐户

在威胁情报和缓解措施公司PhishLabs发现的网络钓鱼活动中,攻击者不再以用户的登录凭据为目标,而是使用Microsoft Office 365 OAuth应用劫持收件人的帐户。PhishLabs公司的Michael Tyler表示,这种攻击方法的独特之处在于,它实际上是针对受害者的Office 365帐户的恶意软件。它具有高度持久性,将完全绕过大多数传统防御措施,并且除非用户知道要查找的内容,否则很难将其检测和删除。

Office 365.jpg
https://www.bleepingcomputer.com ... s-using-oauth-apps/


3 Adobe发布了其2019年12月安全更新补丁

Adobe Systems修复了Acrobat Reader,Photoshop和Brackets中的17个漏洞,如果被利用,则可能导致任意代码执行。总体而言,作为定期更新的一部分,Adobe发布了补丁程序,解决了包括Acrobat Reader PDF查看器在内的各种产品中的25个CVE。 Adobe表示,到目前为止,尚未流行针对这些漏洞的攻击。

adobe.jpg
https://threatpost.com/adobe-fix ... ckets-flaws/150970/


4 微软在12月更新中修复了一个零日漏洞

微软已于2019年12月发布了针对36种CVE的修复程序,该修复程序于周二发布,涉及多种产品,其中一种已被零日漏洞广泛使用。CVE-2019-1458是Win32k中的特权提升漏洞,该漏洞具有流行循环的实时零日漏洞利用功能。 研究人员说,利用此漏洞,攻击者可以在被攻击的计算机上获得更高的特权,并避免使用Google Chrome浏览器中的保护机制。

零日.jpg
https://threatpost.com/microsoft ... ero-day-bug/150992/


5 研究人员发现Apple AirDrop中存在安全漏洞

研究人员Kishan Bagaria发现,可供用户在iOS设备之间分享文件的AirDrop(隔空投送)功能存在bug。利用该漏洞,攻击者可在无线网络范围内,反复向可接收文件的设备发送文件。收到文件后,iOS会阻止显示,直到文件被接受或拒绝为止。 但是由于iOS并没有限制设备可以接受的文件请求数量,因此攻击者可以简单地一次又一次地发送文件,重复显示文件接受框,这会使设备陷入循环。

Airdrop.jpg
https://techcrunch.com/2019/12/10/ios-airdrop-lock-up-iphones/


6 超过75万份美国出生证明的申请表被泄露

一家在线公司公开了大量的应用程序缓存,其中包含个人信息,用户可通过这家公司从美国各州政府获得其出生和死亡证明副本。在Amazon Web Services(AWS)存储桶中找到了超过752,000个出生证明副本的应用程序。该存储桶中也有90,400个死亡证书申请,但无法访问或下载。该存储桶没有密码保护,任何人都可以通过易于猜测的网址来访问数据。

在线公司.jpg
https://techcrunch.com/2019/12/0 ... plications-exposed/



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 18:51

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表