找回密码
 注册创意安天

每日安全简讯(20210805)

[复制链接]
发表于 2021-8-4 18:32 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 思科修复了FDM On-Box软件中的代码执行漏洞

思科解决了Firepower设备管理器 (FDM) On-Box软件中的一个漏洞,该漏洞可被利用来在易受攻击的设备上执行代码。FDM On-Box用于配置Cisco Firepower防火墙,为管理员提供管理和诊断功能。安全研究人员在FDM On-Box的REST API中发现了远程代码执行漏洞,该漏洞被跟踪为CVE-2021-1518并被评为中等严重性。该缺陷的存在是因为用户对特定命令的输入没有得到充分净化。该错误影响 FDM On-Box 版本6.3.0、6.4.0、6.5.0、6.6.0 和 6.7.0。思科通过发布软件版本6.4.0.12、6.4.4和6.7.0.2解决了该问题。
思科.jpg

https://www.securityweek.com/cod ... anager-box-software


2 谷歌针对Android发布安全更新修复了33个漏洞

谷歌本周推出了一个以安全为主题的Android更新,修复了30多个安全漏洞,这些漏洞使移动用户面临一系列恶意黑客攻击。最新的Android更新提供了关于33个安全漏洞的文档,其中一些严重漏洞到会导致权限提升或信息泄露。其中最重要的是媒体框架中的一个漏洞,该漏洞可能导致Android 8.1和9设备上的特权提升,或Android 10和11上的信息泄露。该漏洞被跟踪为CVE-2021-0519。
安卓.jpg

https://www.securityweek.com/goo ... roid-security-flaws


3 研究人员披露了14个影响嵌入式TCP/IP协议栈的漏洞

本周三,网络安全研究人员披露了14个攻击TCP/IP协议栈的漏洞,这些漏洞影响了不少于200家厂商生产的数百万个OT设备,这些设备部署在工厂、发电、水处理和关键基础设施领域。这些缺陷被统称为“INFRA:HALT”,攻击目标是NicheStack,可能使攻击者实现远程代码执行、拒绝服务、信息泄露、TCP欺骗,甚至DNS缓存中毒。NicheStack是一个用于嵌入式系统的闭源TCP/IP堆栈,旨在提供互联网连接工业设备。
TCPIP协议栈.jpg

https://thehackernews.com/2021/0 ... embedded-tcpip.html


4 研究人员称某开放的数据库泄露了美国3500万公民信息

近日研究人员发表了 一份报告,揭示了一个未受保护的营销数据库的详细信息,该数据库泄露了芝加哥、圣地亚哥和洛杉矶约3500万居民的私人详细信息。有趣的是,该数据库的所有者尚未确定。研究人员怀疑该数据库可能是营销公司的抓取尝试,该公司将其存储在配置错误的服务器上。由于无法识别暴露的数据库的所有者,并且它在2021年7月27日之前仍然可以访问,托管存储数据库的服务器的亚马逊网络服务 (AWS)不得不进行干预并将其关闭。
美国3500万公民信息.jpg

https://www.hackread.com/househo ... -residents-exposed/


5 NSA和CISA联合发布加强Kubernetes系统安全性的建议

美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 发布了全面的建议,以加强组织的Kubernetes系统的安全性。Kubernetes是一种流行的开源解决方案,用于在云中部署、扩展和管理容器化应用程序。NSA表示,Kubernetes环境受损的三个主要原因是供应链攻击、恶意行为者和内部威胁。概括地说,针对这些威胁的防御措施是扫描容器和Pod中的错误和错误配置;使用最少的权限来运行Pod和容器(除非需要更高的权限),并使用网络分离、强身份验证、正确配置的防火墙和审计日志。
Kubernetes.jpg

https://www.bleepingcomputer.com ... ty-recommendations/


6 安全专家演示了入侵智能电视的攻击场景

安全专家在最新的视频中展示了一种可能发生在任何组织内的攻击场景——入侵智能电视。视频显示内部人士在公司会议室将USB Rubber Ducky插入智能电视。在不到一分钟的时间里,一个有效载荷被执行来建立一个用于数据泄露的Wi-Fi 网络(称为 kitty3),并指示电视连接到它。有效载荷然后上传一个实用程序,在内部人员移除流氓设备之前捕获屏幕,智能电视显示包含机密数据的演示文稿。屏幕捕获实用程序屏幕记录整个演示文稿并将记录保存为电视上的文件。攻击者通过预先建立的Wi-Fi网络(kitty3)远程连接电视,查看和下载保存的屏幕录像。
入侵电视.png

https://securityaffairs.co/wordp ... rt-tv-security.html

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 07:22

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表