设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20201112)
返回列表 发新帖

每日安全简讯(20201112)

[复制链接]
发表于 2020-11-11 17:15 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 PcVue SCADA/HMI解决方案存在三个严重漏洞

研究人员发现了法国ARC Informatique开发的PcVue SCADA/HMI解决方案中三个潜在的严重漏洞,其中包括可以使攻击者控制工业流程或造成破坏的漏洞。严重程度最高的漏洞与接口中收到的消息的不安全反序列化有关,并且可能导致远程执行代码,另外一个漏洞可以被利用来进行DoS攻击,还有一个是信息泄露问题,使攻击者可以访问合法用户的会话数据。该供应商已在12.0.17版中修复了安全漏洞,并且还共享了一些缓解措施和变通办法,以帮助客户防止攻击。
 PcVue SCADAHMI.jpg

https://www.securityweek.com/fla ... trial-organizations

2 微软发布2020年11月安全更新修复112个漏洞

2020年11月的微软周二补丁更新解决了多个产品中的112个漏洞,包括Microsoft Windows,Office和Office Services和Web Apps,Internet Explorer(IE),Edge(基于EdgeHTML和Chromium),ChakraCore,Exchange Server,Microsoft Dynamics ,Azure Sphere,Windows Defender,Microsoft Teams和Visual Studio。在这112个补丁中,17个被评为关键,93个被评为重要,2个被评为低严重程度。
 Microsoft.jpg

https://securityaffairs.co/wordp ... tuesday-nov-20.html

3 Ultimate Member插件低于2.1.12版本存在漏洞

Ultimate Member是一个可扩展的WordPress插件,具有100,000多个活动安装,旨在简化个人资料和成员资格管理的任务。允许轻松注册以及使用针对各种用户角色的自定义特权构建在线社区。威胁分析师强烈建议使用Ultimate Member插件的WordPress网站管理员将其更新至最新版本,以阻止试图利用可能导致网站接管的多个关键漏洞的攻击。
 WordPress.jpg

https://www.bleepingcomputer.com ... k-up-to-100k-sites/

4 巴基斯坦航空公司网络的访问权已在暗网上出售

暗网威胁情报公司KELA的一个团队发现,他们一直在监视一个黑客,他在两个俄语的非法在线论坛和一个英语的论坛上鼓吹以4000美元的价格获得该航空公司的域名管理访问权。网络犯罪分子在黑市上进入航空公司网络一周后,宣布他也出售了该航空公司网络中存在的所有数据库。 黑客发布了据称被盗数据的样本,他们声称其中包含使用巴基斯坦航空公司的所有人的信息,包括姓名,姓氏,电话号码,护照。
 PIAPIA.jpg

https://www.infosecurity-magazin ... ccess-to-pakistani/

5 新的Slipstream NAT旁路攻击将被浏览器阻止

Web浏览器供应商正计划阻止一种新的攻击技术,该技术将允许攻击者绕过受害者的NAT,防火墙或路由器,以访问其设备上托管的任何TCP/UDP服务,它要求受害者访问攻击者的恶意网站。为了公开托管的服务,在检测到伪装成有效SIP请求的恶意HTTP请求时,攻击者利用某些NAT设备扫描端口5060来创建端口转发规则。为了阻止此类攻击,Web浏览器供应商计划通过将其添加到受限列表中来阻止此攻击中使用的5060和5061端口。目前,Firefox、Safari和Blink背后的开发团队已经表达了阻止NAT Slipstreaming攻击的意图。
 NAT Slipstreaming.jpg

https://www.bleepingcomputer.com ... locked-by-browsers/

6 美国陆军公布漏洞赏金计划“Hack the Army 3.0”

美国陆军推出了“Hack the Army 3.0”漏洞赏金计划,计划增加参与该计划的人数,并提供更多的攻击目标。《 Hack the Army 3.0》的发布时间定为12月14日,一直持续到1月28日,或者直到所有资金都发放给了获胜者。陆军没有具体说明有多少钱,在2019年底, Hack the Army 2.0获得了27.5万美元的奖励。这次,整个Army.mil域名都可以成为白帽黑客的攻击目标,但美国陆军表示,它只会为发现某些类型的漏洞付费。其他可用的目标包括登录/认证服务和军队拥有的vpn。
 hackarmy.png

https://www.fedscoop.com/hack-the-army-3-hackerone/
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 07:30

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表