免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Linphone SIP堆栈漏洞可能导致客户端设备崩溃
网络安全研究人员周二披露了Linphone Session Initiation Protocol (SIP)协议栈中一个零点击安全漏洞的细节,该漏洞可以在受害者不采取任何行动的情况下被远程利用,从而使SIP客户端崩溃并导致拒绝服务 (DoS) 条件。漏洞被追踪为CVE-2021-33056(CVSS分数:7.5),该问题涉及“belle-sip”组件中的空指针解引用漏洞,该组件是一个用于实现SIP传输、事务和对话层的C语言库,4.5.20之前的所有版本都受到该漏洞的影响。
https://thehackernews.com/2021/0 ... -bug-could-let.html
2 研究人员发现WordPress网站插件存在漏洞
在WordPress的Gutenberg Template Library & Redux Framework插件中发现了两个漏洞,该插件安装在超过100万个网站上。研究人员说,它们可以允许任意插件安装、删除以及访问有关网站配置的潜在敏感信息。第一个漏洞跟踪为CVE-2021-38312(CVSS分数:7.1),它源于插件使用WordPress REST API,该API处理安装和管理块的请求。Wordfence称,它无法正确授权用户权限。第二个中危漏洞 (CVE-2021-38314) 在 CVSS 等级上的评分为5.3,是由于Gutenberg Template Library & Redux Framework插件记录了几个可供未经身份验证的用户使用的AJAX请求,其中一个是确定的和可预测的,从而有可能发现网站的$support_hash。
https://threatpost.com/gutenberg ... s-wordpress/169111/
3 谷歌发布Chrome 93共修复了27个安全漏洞
谷歌本周宣布发布Chrome 93,内置了27个安全补丁,其中19个漏洞是由外部研究人员报告的。在外部报告中,最新Chrome版本解决了五个高严重性安全漏洞,所有漏洞都是影响各种浏览器组件的use-after-free漏洞。其中最严重的是CVE-2021-30606,在权限 (CVE-2021-30607)、Web 共享 (CVE-2021-30608) 和登录 (CVE-2021-30609) 中修补了其他三个高严重性的use-after-free漏洞。其他中等严重程度的漏洞包括堆缓冲区溢出、跨源数据泄漏、策略绕过、执行不当、UI欺骗(两个bug)和策略执行不足。最新的Chrome 93.0.4577.63现在已经向Windows、Mac和Linux用户推出。
https://www.securityweek.com/goo ... d-release-chrome-93
Google Awards Over 0,000 for Flaws Patched With Release of Chrome 93 _ Securi.pdf
(197.25 KB, 下载次数: 15)
4 白帽黑客发现BrakTooth漏洞影响商业蓝牙设备
白帽黑客揭露了一系列被称为“BrakTooth”的安全漏洞,这些漏洞影响了商业蓝牙设备,白帽黑客还对一些不愿意修补这些漏洞的供应商发出了警告。研究团队补充说:“BrakTooth影响主要的片上系统 (SoC) 供应商,例如英特尔、高通、德州仪器、英飞凌(Cypress)、Silicon Labs等。”据估计,在1400多种商用产品中,包括微软的Surface Pro 7、Surface Laptop 3、Surface Book 3、Surface Go 2和沃尔沃的FH信息娱乐系统中,BrakTooth漏洞暴露了“封闭式蓝牙堆栈中的基本攻击向量”。
https://www.theregister.com/2021 ... ut_bluetooth_users/
5 WhatsApp图像过滤漏洞可能泄露用户的数据
WhatsApp图像过滤功能中现已修补的高严重性安全漏洞可能被滥用,通过消息传递应用程序发送恶意图像,以从应用程序的内存中读取敏感信息。该漏洞被追踪为CVE-2020-1910(CVSS分数:7.8),该漏洞涉及越界读/写,源于将特定图像过滤器应用于恶意图像并将更改后的图像发送给不知情的接收者,从而使攻击者能够访问存储在应用程序内存中的有价值数据。网络安全公司Check Point Research于2020年11月10日向Facebook旗下的平台披露了这一问题,并表示它能够通过在恶意GIF文件的各种过滤器之间切换来使WhatsApp崩溃。
https://thehackernews.com/2021/0 ... bug-could-have.html
6 法国药店在线平台泄露了70万Covid检测结果
近日,一个用于将药店抗原检测数据传输到政府SI-DEP的在线平台数据泄漏,导致公开了70万份新冠病毒检测结果和个人信息。在线调查杂志Mediapart警告Francetest平台其系统中存在漏洞,该平台于8月27日夜间修复。Mediapart表示,与此同时,患者的全名、性别、出生日期、社会安全号码、联系细节(包括电子邮件地址、电话号码和邮政地址)和检测结果“只需点击几下就可以访问”。
https://www.connexionfrance.com/ ... -publicly-available
|