设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20220803)
返回列表 发新帖

每日安全简讯(20220803)

[复制链接]
发表于 2022-8-2 18:58 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 研究人员发现超3200个应用会泄露Twitter API密钥

研究人员发现了3207个移动应用程序公开了 Twitter API 密钥,可能使攻击者能够接管与该应用程序关联的用户 Twitter 帐户。该发现属于网络安全公司 CloudSEK,该公司审查了大型应用程序集是否存在潜在数据泄漏,并发现 3207 个应用程序泄露了 Twitter API 的有效消费者密钥。当用户将其 Twitter 帐户与此移动应用程序相关联时,这些密钥还将使该应用程序能够代表用户执行操作,例如通过 Twitter 登录、创建推文等。
1.jpg

https://www.bleepingcomputer.com/news/security/over-3-200-apps-leak-twitter-api-keys-some-allowing-account-hijacks/
1.pdf (2.1 MB, 下载次数: 30)

2 勒索软件团伙声称从Creos Luxembourg SA窃取数据

ALPHV/BlackCat 勒索软件团伙声称入侵了欧洲天然气管道 Creos Luxembourg SA,从该公司窃取了超过 150 GB 的数据,总计 180000 个文件,被盗数据包括合同、协议、护照、账单和电子邮件等。拥有 Creos 大部分股权​​的 Encevo 公司发布了一份安全公告,宣布天然气管道形式在 7 月 22 日至 23 日期间遭受了网络攻击。
 2.jpg
https://securityaffairs.co/wordpress/133899/cyber-crime/alphv-blackcat-ransomware-creos-luxembourg.html

3 黑客窃取了访问 140000 个支付终端的密码

一家网络安全公司披露,黑客可以访问用于远程管理和控制由数字支付巨头 Wiseasy 制造的数千个信用卡支付终端的仪表板。Wiseasy 是一个流行的基于 Android 的支付终端制造商,用于亚太地区的餐厅、酒店、零售店和学校。通过其 Wisecloud 云服务,Wiseeasy 可以通过互联网远程管理、配置和更新客户终端。但据这家安全公司称,用于访问 Wiseasy 云仪表板的 Wiseasy 员工密码(包括一个“管理员”账户)是在暗网市场上发现的。
 3.jpg
https://techcrunch.com/2022/08/01/wiseasy-android-payment-passwords/

4 CompleteFTP漏洞允许攻击者删除服务器文件

文件传输软件 CompleteFTP 中的一个安全漏洞允许未经身份验证的攻击者删除受影响安装上的任意文件。CompleteFTP 由澳大利亚的 EnterpriseDT 开发,是一款专业的 Windows FTP 和 SFTP 服务器,支持 FTPS、SFTP 和 HTTPS。安全研究人员发现了软件HttpFile类中的一个漏洞,该漏洞是由于在文件操作中使用用户提供的路径之前缺乏适当的验证所致。
 4.jpg
https://portswigger.net/daily-swig/completeftp-path-traversal-flaw-allowed-attackers-to-delete-server-files

5 警惕攻击者利用书签作为数据渗出通道

两个通用且看似无害的浏览器功能——创建书签(也称为“收藏夹”)和浏览器同步的能力——使用户的生活更轻松,但也可能让黑客建立一个隐蔽的数据渗出通道。一些攻击者设法利用 Chrome 的同步功能并使用扩展程序将他们的计算机直接连接到目标工作站,为远程数据操作创建隐蔽通道,用于数据渗出和 C&C 通信。在企业环境中浏览器扩展的使用可能会受到限制,从而阻止该访问路径,因此 SANS 技术学院的学生 David Prefer 决定调查是否可以利用书签同步机制。
 5.jpg
https://www.helpnetsecurity.com/2022/08/02/data-exfiltration-via-bookmarks/

6 Outlook在打开Uber收据电子邮件时崩溃

微软表示,Outlook 电子邮件客户端在打开和阅读带有 Uber 收据电子邮件等表格的电子邮件时会崩溃。虽然已知问题会影响当前频道版本 2206 内部版本 15330.20196 及更高版本中的 Microsoft 365 客户,但它也可能触发当前 Beta 版和当前频道预览版中的无响应。Microsoft团队已经开发了一个修复程序,在经过验证后将很快发布给 Beta 通道客户。微软补充说,在当前频道中使用 Outlook 版本的客户将在 2022 年 8 月 9 日星期二的本月补丁中收到修复。
6.jpg
https://www.bleepingcomputer.com/news/microsoft/microsoft-outlook-is-crashing-when-reading-uber-receipt-emails/





回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 21:08

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表