每日安全简讯(20201104)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 npm安全团队从npm网站上删除了一个恶意JavaScript库

npm安全团队今天从npm网站上删除了一个恶意JavaScript库，该库包含了在程序员电脑上打开后门的恶意代码。这个JavaScript库被命名为“twilio-npm”，它的恶意行为是在周末被Sonatype发现的，Sonatype是一家监控公共包库的公司，它是开发者安全操作服务的一部分。在今天发布的一份报告表示，该库于周五首次发布在npm网站上，当天被发现，并在npm安全团队将该包列入黑名单后被删除。


https://www.zdnet.com/article/ma ... grammers-computers/

---

2 谷歌在为Chrome浏览器发布的更新中修复了10个漏洞

谷歌今天发布了Chrome浏览器的安全更新，修补了10个安全漏洞，包括一个0day漏洞，这个漏洞被标记为CVE-2020-16009，目前正在被广泛利用。谷歌建议Chrome用户将浏览器升级到86.0.4240.183或更高版本。


https://www.zdnet.com/article/go ... o-day-in-two-weeks/

---

3 Oracle发布紧急补丁修复WebLogic Server严重漏洞

Oracle在周末发布了带外安全更新，修复了影响多个Oracle WebLogic Server版本的关键远程代码执行（RCE）漏洞。安全漏洞编号为CVE-2020-14750， 漏洞等级：严重，漏洞评分：9.8，满分10。鉴于该严重漏洞的危害程度，漏洞利用代码的广泛传播，Oracle强烈建议客户尽快应用安全警报中提供的更新。


https://www.bleepingcomputer.com ... blogic-server-flaw/

---

4 攻击者利用Google云端硬盘向数十万用户发送恶意链接

据报道，最近的攻击源于Google云端硬盘的合法协作功能，该功能允许用户创建推送通知或电子邮件，邀请人们共享Google文档。攻击者利用此功能向移动用户发送Google云端硬盘通知，邀请他们合作处理文档，然后文档中包含恶意链接。由于这些通知是通过Google云端硬盘发送的，因此这些通知来自Google的不答复电子邮件地址，这使得它们看起来更合法。


https://threatpost.com/scammers- ... cious-links/160832/

---

5 NAT Slipstreaming技术可绕过NAT和防火墙控制目标机器

一项新的研究表明，NAT Slipstreaming技术可使攻击者绕过防火墙保护，并远程访问受害计算机上的任何TCP/UDP服务。此方法涉及向目标发送指向恶意站点（或加载了恶意广告的合法站点）的链接，该链接在被访问时最终触发网关打开受害者上的任何TCP/UDP端口，从而绕开浏览器基于端口的限制。


https://thehackernews.com/2020/1 ... ss-attack-lets.html

---

6 研究人员展示了可以感染机器学习模型的无触发器后门

某信息安全中心的研究人员发现，攻击者无需使用可见的触发器也可以导致人工智能系统行为异常。近日，研究人员展示了深度学习系统中所谓的“无触发器后门”的概念证明，这种新型的攻击方式绕过了当前部署的大多数防御方法。大多数后门攻击都依赖于附加的触发器，然而在无触发的后门方案中，攻击者操纵深度学习模型以在丢弃特定神经元时激活恶意行为。无触发器后门的好处在于，攻击者不再需要可见的触发器来激活恶意行为。


https://portswigger.net/daily-sw ... ng-a-trace-research

---