找回密码
 注册创意安天

每日安全简讯(20220214)

[复制链接]
发表于 2022-2-13 23:55 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 数以千计的npm帐户使用域名过期的电子邮件地址

一个学术研究项目发现,成千上万的JavaScript开发人员使用的npm帐户域名过期的电子邮件地址,使得他们的项目容易被劫持。去年,微软和北卡罗来纳州立大学的研究人员进行了这项研究,分析了上传到Node Package Manager(npm)上的1630101个库的元数据,他们发现2818名项目维护者仍在使用域名已过期的电子邮件地址,其中一些在GoDaddy等网站上出售。攻击者可以购买这些域名,在他们自己的电子邮件服务器上重新注册维护者的地址,然后重置维护者的帐户密码并接管其npm包。
npm.png

https://therecord.media/thousand ... th-expired-domains/


2 Twitter的应用程序和网站在全球许多国家出现故障

Twitter在全球许多国家都宕机了,其社交网络和在线新闻网站Twitter现在对世界各地的许多人来说都是关闭的。这次中断影响了日本、美国和欧洲的用户,包括意大利、西班牙、德国、法国、挪威和英国。此外,Twitter 在加拿大、巴西、印度和巴基斯坦的一些城市也出现了故障。这次事故导致用户无法发送新推文、加载新旧推文、上传文件和访问平台上的媒体。
twitter.jpg

https://www.hackread.com/twitter-down-twitter-is-down-for-many/


3 研究人员发现乔治亚州使用的投票机存在安全漏洞

一家联邦网络安全机构正在审查一份报告,该报告称乔治亚州和其他州使用的投票机存在安全漏洞,并表示在该机构有时间评估和减轻潜在风险之前,不应公开这份文件。这份报告自今年7月在亚特兰大联邦法院被封存,这是一场旷日持久的挑战乔治亚州投票机的诉讼的一部分。研究人员对Dominion Voting Systems的机器进行了12周的检查,发现了多个严重的安全漏洞,这些漏洞会让不法分子安装恶意软件。
投票机.png

https://www.securityweek.com/fed ... ting-machine-report
Feds Oppose Immediate.pdf (123.98 KB, 下载次数: 16)


4 CISA敦促各组织修复被积极利用的Windows SAM漏洞

美国网络安全与基础设施安全局(CISA)在漏洞目录中又增加了15个活跃于网络攻击中的安全漏洞。CISA关于这些漏洞的警告为所有系统管理员敲响了警钟,他们需要优先安装安全更新来保护他们组织的网络。CVE-2021-36934是最突出的一个。这是一个Microsoft Windows SAM(安全帐户管理器)漏洞,允许任何人访问Windows 10和11上的注册表数据库文件,提取密码哈希并获得管理员权限。微软于2021年7月修复了这一漏洞,但7个月后,仍有大量系统需要安装更新。
15个漏洞.png

https://www.bleepingcomputer.com ... ows-serioussam-bug/
Windows SeriousSAM bug.pdf (1.43 MB, 下载次数: 12)


5 谷歌Project Zero称安全漏洞修复方面的速度显著加快

谷歌的Project Zero日安全研究团队透露,2021年Project Zero报告的安全漏洞的修补速度平均比2019年快28天。去年,硬件和软件供应商平均需要52天来修复安全漏洞,远低于90天的最后期限,也低于两年前平均80天的时间。只有一个漏洞超过了修复期限,尽管有14%的漏洞需要额外的14天的宽限期才能进行修复。研究人员在一篇博客文章中说:“我们怀疑这种趋势可能是由于负责任的信息披露政策已经成为该行业事实上的标准,供应商更有能力对不同期限的报告做出快速反应。”
谷歌.png

https://portswigger.net/daily-sw ... ity-bug-remediation


6 克罗地亚电话运营商A1 Hrvatska披露了一起数据泄露事件

克罗地亚电话运营商A1 Hrvatska披露了一起数据泄露事件,该事件影响了10%的客户,大约20万人。攻击者可以访问客户的敏感个人信息,包括姓名、个人识别号码、地址和电话号码。攻击者没有访问在线账户,财务信息也没有被泄露。目前,该手机运营商没有透露有关安全漏洞的细节。该公司强调银行卡和账户的信息不会泄露,因为这些信息在指定的数据库中无法获得。该公司将直接通知所有个人数据可能被泄露的用户。
克罗地亚.jpg

https://securityaffairs.co/wordp ... ka-data-breach.html

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 01:25

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表