每日安全简讯(20191010)

1 TwinCAT工业系统遭受DoS攻击

Beckhoff是一家德国公司，提供自动化解决方案，包括工业PC，I / O和现场总线组件，驱动技术和自动化软件。其TwinCAT系统旨在将Windows PC变成可编程逻辑控制器（PLC）。Rapid7的研究人员发现 TwinCAT受两个DoS漏洞的影响，两个漏洞均被归类为“严重”。


https://www.securityweek.com/vul ... systems-dos-attacks

---

2 研究人员发现了NSA GHIDRA中存在代码执行漏洞

美国国家安全局（NSA）于3月发布了套件Ghidra ，该套件可用于发现应用程序中的漏洞和安全漏洞。几周前，安全研究人员在Ghidra工具中发现了一个漏洞，跟踪为CVE-2019-16941，攻击者可以利用该漏洞在受影响的应用程序上下文中执行任意代码。研究人员发现，只有在启用实验模式后才能利用此缺陷。该漏洞位于Bit Patterns Explorer的“读取XML文件”功能中，攻击者可以通过使用修改后的XML文档来利用它。


https://securityaffairs.co/wordp ... execution-flaw.html

---

3 Google修复Android 10中的远程代码执行漏洞

Google于2019年10月发布的一组Android安全补丁解决了操作系统中的26个漏洞，其中包括一些影响Android 10的远程代码执行错误。这些漏洞中最重要的是Media框架（CVE-2019-2184、CVE-2019-2185和CVE-2019-2186）中的三个远程代码执行漏洞，这三个漏洞在Android 7.1.1、7.1.2、8.0、8.1和9上都被评为严重漏洞。这三个问题均在运行2019-10-01安全补丁程序级别的设备上得到解决，该设备还包括针对框架中的高严重性漏洞（特权提升），媒体框架（信息披露）和系统（特权提升和信息披露）的高严重性漏洞的补丁程序。


https://www.securityweek.com/goo ... ion-bugs-android-10

---

4 微软通过2019年10月安全更新修复了60个漏洞

微软于周二发布的2019年10月补丁修复了60个漏洞，但似乎没有一个漏洞被利用，并且只有9个被认为是关键的。微软已提醒用户，从2020年1月14日开始，Windows 7和Windows Server 2008将不再收到更新。虽然大多数希望继续使用Windows 7和Server 2008的Microsoft客户将不得不为扩展的安全更新付费，但一些客户和投票系统将免费接收更新。


https://www.securityweek.com/mic ... 19-security-updates

---

5 Apple修复了Catalina 10.15更新中的十几个漏洞

Apple发布了针对Catalina的修复程序以及针对iCloud和iTunes的Windows软件补丁。Apple花了很少的时间来解决MacOS Catalina操作系统中的漏洞。Apple公司周二发布了16个补丁，解决了诸如CoreAudio，IOGraphics和WebKit等组件中广泛的Catalina错误。 该安全修补程序专门针对macOS 10.15； 因此，Catalina之前的macOS版本必须等待修复。


https://threatpost.com/apple-tac ... in-catalina/148988/

---

6 Twitter使用2FA电话号码进行广告定位

社交网站Twitter今天披露，“无意中”使用了用户提供的用于帐户安全的电子邮件地址和电话号码，以实现有针对性的广告。当用户和公司在Twitter上推广赞助的推文时，他们可以根据一系列条件过滤广告的受众。Twitter说，问题在于用户提供的电子邮件和电话号码是专门出于安全原因使用的，其中公司的两个内部广告系统“无意中”提供了“量身定制的观众”和“合作伙伴观众”。Twitter说这是一个错误，而不是打算这样做。该问题已在9月17日修复，该公司表示未与外部实体共享用户数据。


https://www.zdnet.com/article/tw ... ng/#ftag=RSSbaffb68

---