每日安全简讯(20200603)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现Mitron视频制作应用程序存在漏洞

Mitron是一款视频制作应用，该应用程序有一个重大的安全漏洞，可以让威胁行动者绕过账户授权来利用用户的账户。网络安全研究员Rahul Kankrale透露这一安全漏洞存在于应用程序的“谷歌登录”功能中。这个功能需要用户在注册时通过谷歌帐户访问他们个人信息的权限。但是，它不使用对用户身份验证所需的任何秘密令牌。因此，攻击者只需要知道受害者的唯一用户ID，他们就可以访问该帐户，而不需要任何密码。此安全漏洞尚未修复。


https://in.mashable.com/tech/144 ... s-in-seconds-report

---

2 苹果修复了IOS内核中越狱iPhone的零日漏洞

苹果发布了安全补丁，以解决iOS内核中用于越狱iPhone的CVE-2020-9859零日漏洞。据CERT协调中心称，内核漏洞可能允许恶意应用程序实现未沙盒化的内核级代码执行，越狱可在使用支持指针身份验证代码（PAC）的CPU的现代iOS设备上运行，这表明PAC不能阻止利用此漏洞。现在，苹果公司解决了该漏洞，并透露该漏洞的根本原因是内存消耗。


https://securityaffairs.co/wordp ... 9859-jailbreak.html

---

3 VMware Cloud Director平台中存在代码注入漏洞

网络安全研究人员今天披露了VMware Cloud Director平台中一个新漏洞的详细信息，该漏洞可能允许攻击者访问敏感信息，并控制整个基础架构中的私有云。代码注入漏洞被追踪为CVE-2020-3956，其源于不正确的输入处理，可被经过身份验证的攻击者滥用，从而向Cloud Director发送恶意流量，导致执行任意代码。受到此漏洞影响的VMware Cloud Director版本有：10.0.0.2之前的10.0.x版本、9.7.0.5之前的9.7.0.x版本、9.5.0.6之前的9.5.0.x版本和9.1.0.4之前的9.1.0.x版本。


https://thehackernews.com/2020/0 ... rector-exploit.html

---

4 Sodinokibi勒索软件操控者泄露Elexon公司文件

今年5月，英国电网网络中间商Elexon遭受了网络攻击，其系统已被Sodinokibi勒索软件感染。该事件仅影响了内部IT网络，包括公司的电子邮件服务器和员工笔记本电脑。两周后，Sodinokibi操控者在其泄露网站上公布了据称从该公司窃取的1280份文件。这些文件包括Elexon员工的护照和一份商业保险申请表。Elexon没有支付赎金，并从备份中恢复操作，因此，Sodinokibi操控者决定泄漏被盗的文件。


https://securityaffairs.co/wordp ... d-elexon-files.html

---

5 西班牙在线学习平台8belt数据泄露暴露用户信息

西班牙在线学习平台“8belt”未能保护其用户的敏感信息，暴露了来自世界各地的大量用户信息。该平台的IT团队对安全研究人员Noam Rotem和Ran Locar于2020年4月16日发现的AWS S3存储桶进行了错误配置。该数据库最终于2020年5月28日得到保护，因此敏感用户数据在大约六周的时间内可以在线访问。


https://www.technadu.com/8belt-e ... ge-students/103631/

---

6 BHIM移动支付应用程序数据泄露暴露了用户信息

数百万注册了BHIM移动支付应用程序的印度公民的数据可能被滥用，因为这些数据被暴露在一个配置错误的Amazon S3存储桶中，并且没有加密。vpnMentor的研究人员最近发现，S3存储桶连接到一个网站，该网站被用来促进支付应用程序的普及并签署新的个人用户和商家。在一份报告中，vpnMentor称该存储桶为包含409GB的数据，这些数据代表了726万条记录，其中包含开设BHIM帐户所需的信息。


https://www.darkreading.com/atta ... cket/d/d-id/1337968

---