找回密码
 注册创意安天

每日安全简讯(20220310)

[复制链接]
发表于 2022-3-9 18:07 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Access:7供应链漏洞影响医疗和物联网设备

PTC的Axeda软件中披露了多达七个安全漏洞,这些漏洞可能被武器化,以未经授权访问医疗和物联网设备。这些漏洞统称为“Access:7”,其中三个被评为严重漏洞,可能会影响100多家不同制造商的150多种设备型号,从而构成重大的供应链风险。在100家受影响的设备供应商中,55%属于医疗保健行业,其次是物联网(24%)、IT(8%)、金融服务(5%)和制造(4%)行业。 这些漏洞被跟踪为:CVE-2022-25246、CVE-2022-25247、CVE-2022-25251、CVE-2022-25249、CVE-2022-25250、CVE-2022-25252、CVE-2022-25248。成功利用这些漏洞可使攻击者具备远程执行恶意代码的能力,从而完全控制设备、访问敏感数据、修改配置,并关闭受影响设备中的特定服务。

Access.JPG
https://thehackernews.com/2022/0 ... 7-supply-chain.html


2 惠普设备中存在16个高严重性UEFI固件漏洞

安全研究人员周二披露了影响多个惠普企业设备的16个高严重性漏洞,这些漏洞存在于统一可扩展固件接口(UEFI)固件中。受影响的设备种类包括惠普的笔记本电脑、台式机、PoS系统和边缘计算节点。最严重的缺陷涉及固件的系统管理模式(SMM)中的一些内存损坏漏洞,从而能够以最高权限执行任意代码。这些问题已在2022年2月2日和28日发布的一系列安全更新中得到解决。

hp.gif
https://thehackernews.com/2022/0 ... -uefi-firmware.html


3 在线学习平台Moodle中存在SQL注入漏洞

研究人员警告称,在线学习平台Moodle容易受到二阶SQL注入漏洞的攻击,这可能会允许攻击者接管数据库,并可能获取敏感信息。在该平台上,教师可以为他们的学生创建定制徽章,在创建这些徽章时,具有教师身份的攻击者可能会在数据库中插入恶意SQL查询。之后从数据库中获取数据,并在未经处理的情况下将其注入到另一个查询中。当学生可以访问该徽章时,将执行注入的SQL查询。

d5c0-article-210729-moodle-body-text.png
https://portswigger.net/daily-sw ... e-database-takeover


4 微软发布3月补丁更新总共修复了89个漏洞

微软发布了2022年3月的周二补丁,解决了多个产品中的89个漏洞。该更新包括对MS Exchange中的7个漏洞和21个Microsoft Edge漏洞的修复。14个漏洞被评为严重漏洞,75个漏洞被列为重要漏洞。其中两个漏洞被列为公开已知,而五个被积极利用。更新解决了三个零日漏洞,被跟踪为:CVE-2022-21990、CVE-2022-24459、CVE-2022-24512,上述零日漏洞均未在攻击中被利用。

patch.JPG
https://securityaffairs.co/wordp ... -patch-tuesday.html


5 谷歌发布更新修复Android中的三个严重漏洞

谷歌发布了针对Android 10、11和12的2022年3月安全更新,解决了三个严重漏洞,其中一个漏洞影响所有运行最新版本移动操作系统的设备。该漏洞被追踪为CVE-2021-39708,存在于Android系统组件中,它是权限提升问题,不需要用户交互或额外的执行权限。另外两个严重漏洞是CVE-2021-1942和CVE-2021-35110,这两个漏洞都会影响基于Qualcomm的设备上的闭源组件。

android.JPG
https://www.bleepingcomputer.com ... hree-critical-bugs/
Android's March 2022 security updates fix three critical bugs.pdf (1.09 MB, 下载次数: 18)


6 电子商务巨头Mercado Libre证实源代码泄露

阿根廷电子商务巨头Mercado Libre本周证实其部分源代码被“未经授权访问”。Mercado还表示,大约30万用户的数据被威胁行为者访问。目前,Mercado的IT基础设施似乎没有受到影响,敏感信息没有受到损害。数据勒索组织Lapsus$声称已经访问了MercadoLibre和Mercado Pago的24000个源代码存储库。Lapsus$运营的Telegram频道于3月7日发布了一项调查,要求用户投票给Lapsus$接下来应该泄露数据的公司。受害者名单还包括Impresa和Vodafone。Lapsus$表示,投票将于2022年3月13日00:00结束。

Mercado.JPG
https://www.bleepingcomputer.com ... e-code-data-breach/
E-commerce giant Mercado Libre confirms source code data breach.pdf (661.93 KB, 下载次数: 20)

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-24 00:34

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表