免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Google App Engine可被滥用于恶意活动
安全研究员Marcel Afrahim发现了一种新技术,该技术涉及滥用Google的App Engine域来支持网络钓鱼或恶意软件活动的操作,而不会有被发现的风险。根据研究人员的报告,问题在于Google App Engine生成和处理子域的方式。更具体地说,使用Google App Engine创建的子域可以表示应用版本、服务名称、项目ID、地区ID等。当出现错误时,将启动一个软路由过程,重定向默认页面,而不是提示404错误。通过滥用此系统,可以创建许多恶意子域,这些子域始终路由到默认的应用程序页面。
https://www.technadu.com/the-goo ... ing-attacks/208551/
2 Mozilla停止被用于恶意活动的Firefox Send
Mozilla停止使用Firefox Test Pilot程序中出现的两个旧服务Firefox Send和Firefox Notes。Mozilla透露,由于被滥用发送恶意软件和钓鱼攻击,Firefox Send已停止使用。用户过去使用Firefox Send发送的所有文件都已从Mozilla的服务器上安全删除。Firefox Notes最初是作为一种新的同步加密数据方法的实验,后来变成了桌面和Android用户的实用工具。然而,Mozilla宣布,Android Notes应用程序和同步服务将于11月停止使用。
https://www.securityweek.com/moz ... re-phishing-attacks
3 研究人员发现myGovID应用中存在安全漏洞
安全研究人员Ben Frengley和Vanessa Teague表示,澳大利亚税务局(ATO)使用的代理的默认登录选项很容易受到代码重放攻击。在一篇博客文章中,两人描述了攻击者可以使用恶意登录表单来捕获用户的详细信息,然后可以使用该表单登录myGovID用户所拥有的其他帐户,并且用户不会收到另一个登录的通知。
https://www.zdnet.com/article/at ... law-within-mygovid/
4 新漏洞使黑客可以绕过云应用的多因素验证
根据Proofpoint的最新研究,在启用了WS-Trust的云环境中,多因素验证(MFA)实施中的严重漏洞可能允许攻击者绕过MFA并访问使用该协议的云应用程序,如Microsoft 365。由于Microsoft 365会话登录的设计方式,攻击者可以获得对目标帐户的完全访问权限,包括他们的邮件、文件、联系人、数据等。与此同时,也可以利用这些漏洞从Microsoft获得对其他云服务的访问,包括生产和开发环境,例如Azure和Visual Studio。
https://www.techradar.com/news/n ... a-for-microsoft-365
5 流行的node-forge JavaScript库中存在漏洞
根据GitHub上的一条警告,流行的node-forge JavaScript库中的一个函数包含一个漏洞,该漏洞可能允许攻击者对应用程序进行原型污染攻击。超过350万个存储库使用Node-forge,它实现了各种加密实用程序、TLS协议和用于开发web应用程序的工具。node-forge中的罪魁祸首是util.setPath(),util.setPath的修改日志写道:当使用不安全的输入时,util.setPath存在潜在的原型污染安全性问题。
https://portswigger.net/daily-sw ... -encryption-library
6 黑客泄露了1003名白俄罗斯高级警官的信息
周六,一群黑客泄露了1000多名白俄罗斯高级警官的姓名和个人信息,以回应警察对反政府示威的暴力镇压。泄露的数据包括姓名、出生日期、所在部门和职务头衔。黑客通过Google电子表格泄露了1,003名警官的详细信息,其中大多数条目是针对高级警官的,例如中尉,少校和上尉。黑客将这些数据提供给了白俄罗斯独立通讯社Nexta,后者于上周六在其官方Telegram频道上发布了未编辑的版本。
https://www.zdnet.com/article/ha ... us-police-officers/
|
发表于 2020-9-21 21:07