每日安全简讯(20201113)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现施耐德PLC中存在漏洞

研究人员发布了在施耐德电气可编程逻辑控制器(plc)中发现的身份验证和加密漏洞的新细节。如果利用这些漏洞，攻击者可在操作技术和关键基础架构系统上窃取数据，修改代码并执行命令。今年6月，研究人员私下向施耐德电气披露了Modicon M221 plc和EcoStruxure Machine Expert Basic的漏洞。根据一篇详细介绍调查结果的博客介绍，在所有情况下，攻击者都必须在OT网络上建立存在并监控设备之间的数据流，然后才能利用薄弱的加密实现来破解设备身份验证。


https://www.darkreading.com/thre ... plcs/d/d-id/1339417

---

2 Adobe修复了Connect和Reader Mobile中的漏洞

在Connect中，Adobe解决了两个重要的XSS漏洞，分别是CVE-2020-24442和CVE-2020-24443，这些漏洞可能导致浏览器中任意JavaScript执行。在适用于Android的Adobe Reader Mobile中，Adobe了一个严重的不当访问控制漏洞（跟踪为CVE-2020-24441），该漏洞可能导致敏感信息的泄露。Adobe已发布了Adobe Connect（APSB20-69）和Adobe Reader Mobile（APSB20-71）的安全公告。Adobe建议用户按照相关公告中的说明将其产品安装更新为最新版本。


https://securityaffairs.co/wordp ... -reader-mobile.html

---

3 Ubuntu修复了普通用户可获取root权限的漏洞

Ubuntu开发者已经修复了一系列漏洞，这些漏洞使得普通用户很容易获得他们梦寐以求的root权限。GitHub的研究员凯文·巴克豪斯在周二发表的一篇文章中写道:这篇博文是关于一种令人惊讶的、直接升级Ubuntu特权的方法，只需在终端上执行一些简单的命令，点击几下鼠标，普通用户就可以创建自己的管理员账户。


https://arstechnica.com/informat ... use-to-become-root/

---

4 菲律宾COVID-KAYA应用程序的用户信息遭受泄露

菲律宾医疗工作者使用的一个用于共享COVID-19病例数据的平台存在多个漏洞，暴露了医疗工作者的数据，并可能导致患者数据泄露。研究人员指出，已经修复了两个漏洞（一个在COVID-KAYA Web应用程序中，另一个在Android应用程序中），攻击者可能已经利用这些漏洞来公开系统中的敏感数据。


https://threatpost.com/covid-19- ... worker-info/161108/

---

5 超过2800家电子商店遭受信用卡黑客的攻击

最新研究显示，今年9月初，针对运行Magento 1.x电子商务平台的零售商的网络攻击浪潮是一个黑客团伙掀起的。该团伙已经进行了多种多样的Magecart攻击，这些攻击通常是通过供应链攻击（例如Adverline事件）或通过利用漏洞来批量入侵网站。该团伙攻击了至少2806个运行Magento 1.x的电子商店。在购物网站上注入电子窃取程序以窃取信用卡详细信息是Magecart的一种经过实践检验的作案手法，Magecart是针对在线购物车系统的不同黑客团体的联合体。


https://thehackernews.com/2020/1 ... nning-outdated.html

---

6 新的鸭嘴兽攻击可以窃取英特尔CPU的数据

近日，研究人员公布了一种新的攻击方法，可以从英特尔CPU中窃取数据。该攻击名为鸭嘴兽攻击（Platypus），是“电源泄漏攻击:针对您受保护的用户机密”的首字母缩写，目标是英特尔处理器的RAPL接口。研究人员说：“使用PLATYPUS，我们证明了我们可以观察到功耗的变化，以区分不同的指令以及不同的操作数和存储负载的权重，从而可以推断负载值。”这些“已加载的值”是指CPU中加载的数据，这些可以是加密密钥、密码、敏感文档或任何其他类型的信息。


https://www.zdnet.com/article/ne ... ta-from-intel-cpus/

---