免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 谷歌浏览器发布安全更新修复了7个漏洞
近日谷歌为Chrome浏览器推送了安全更新,为Windows、Mac、Linux同时推送91.0.4472.164版本。本次更新的目的是为了解决Chrome 存在的多个安全方面的漏洞,其中还包含一个严重的0day漏洞。谷歌表示,代号为CVE-2021-30563的漏洞已经被攻击者广泛利用,这漏洞属于Chrome浏览器的V8 JavaScript和WebAssembly引擎的一个类型混淆漏洞。
https://securityaffairs.co/wordp ... ome-zero-day-2.html
Google Chrome 91.0.4472.164 fixes a new zero-day exploited in the wildSecurity Affairs.pdf
(868.49 KB, 下载次数: 5)
2 施耐德修复了EVlink电动汽车充电站的漏洞
施耐德电气已修复其EVlink系列电动汽车充电站中可能导致拒绝服务攻击的安全漏洞。这家能源管理和自动化巨头总共解决了13个漏洞,其中包括3个严重漏洞以及8个指定为高严重性的漏洞和2个中危的漏洞。三个EVlink产品City、Parking和Smart Wallbox会受到影响。未应用固件更新的受影响EVlink充电站可能会面临潜在的未经授权访问其网络服务器的风险,这可能导致充电站的设置和帐户被篡改。
https://portswigger.net/daily-sw ... e-charging-stations
3 密码学家发现Telegram加密协议中的4个漏洞
一个由计算机科学家组成的国际团队周五报告称,他们在流行的加密消息应用Telegram上发现了四个密码漏洞。苏黎世联邦理工学院教授肯尼帕特森说,最终他们证明了这四个关键漏洞可以用标准的密码学方法做得更好、更安全、更值得信赖。研究人员发现的最重要的漏洞是他们所谓的“犯罪披萨”漏洞。其中,攻击者可以改变来自客户端到Telegram运营的云服务器的消息顺序。
https://www.cyberscoop.com/telegram-app-security-encryption/
4 思科修复了ASA和FTD软件中的高风险漏洞
周四,思科发布了针对自适应安全设备(ASA)和火力威胁防御(FTD)软件中的一个高度严重漏洞的补丁,警告称该漏洞可能会导致严重的拒绝服务攻击。思科在一份“高度严重”评级的公告中说,ASA和FTD软件的软件加密模块都受到一个漏洞的影响,远程认证的攻击者或处于中间人位置的未认证攻击者都可以利用这个漏洞。问题存在于软件加密模块中处理特定解密错误方式的逻辑错误中。攻击者通过已建立的IPsec连接发送恶意数据包,可能会导致设备崩溃,迫使设备重新加载。
https://www.securityweek.com/cis ... aw-asa-ftd-software
5 Artwork Archive云存储桶配置错误泄露用户信息
研究人员表示,一个用于连接艺术家和潜在买家的平台可能会暴露属于用户的信息,属于Artwork Archive的Amazon S3存储桶中的错误配置暴露了超过20万份文件。 安全研究人员在5月份发现了不需要任何身份验证即可访问的存储桶。该存储桶中总共包含421GB的数据,涉及7000多个艺术家、收藏家、画廊以及潜在客户。可查看的数据包括全名、实际地址、电子邮件地址和购买细节等等。
https://www.zdnet.com/article/ar ... ta-revenue-records/
6 研究人员发现一个新的LinkedIn网络钓鱼活动
最近ArmorBlox 的研究人员发现了一个新的LinkedIn网络钓鱼活动,该活动通过在Google Forms上托管网络钓鱼页面,通过Google Workspace瞄准了大约700名用户。网络钓鱼电子邮件本身会提示用户验证他们的LinkedIn账户,主题栏包括潜在受害者的名字,以使其看起来更真实,如图所示,电子邮件中有3个不同的超链接,但所有这些超链接最终都将受害者重定向到了网络钓鱼页面,如图所示,发件人的电子邮件地址似乎来自位于尼日利亚的保罗大学。
https://www.hackread.com/linkedin-phishing-scam-google-forms/
|
发表于 2021-7-18 13:24