Google Project Zero項(xiàng)目團(tuán)隊(duì)發(fā)現(xiàn)Grammarly 公司所屬Chrome擴(kuò)展中存在安全漏洞,該漏洞能向所有網(wǎng)站曝光用戶的令牌信息,意味著任意網(wǎng)站能夠訪問(wèn)用戶的文檔數(shù)據(jù)。Grammarly公司已修復(fù)該漏洞。
研究人員發(fā)現(xiàn)Amazon Key漏洞可能導(dǎo)致用戶攝像頭和門(mén)鎖無(wú)法正常使用,攻擊者可能通過(guò)從遠(yuǎn)程計(jì)算機(jī)對(duì)網(wǎng)絡(luò)執(zhí)行DDoS攻擊來(lái)使攝像頭無(wú)法正常使用。
Istury IOT研究員在3S-Smart Software Solutions的CODESYS WebVisu產(chǎn)品的Web服務(wù)器組件中發(fā)現(xiàn)一個(gè)基于堆棧的緩沖區(qū)溢出漏洞,允許用戶在Web瀏覽器中查看可編程邏輯控制器(PLC)的人機(jī)界面(HMI)。
漏洞
安全研究人員發(fā)現(xiàn)名為Hotspot Shield的VPN產(chǎn)品存在一個(gè)嚴(yán)重安全漏洞,該漏洞允許未經(jīng)身份驗(yàn)證的請(qǐng)求訪問(wèn)本地Web服務(wù)器托管的JSONP端點(diǎn),可能會(huì)泄露用戶敏感信息(如Wi-Fi網(wǎng)絡(luò)名稱、真實(shí)IP地址等)。
思科發(fā)布一個(gè)補(bǔ)丁程序,旨在修復(fù)影響ASA設(shè)備的一個(gè)嚴(yán)重漏洞(CVE-2018-0101),該漏洞駐留在設(shè)備的SSL VPN功能中,可能會(huì)允許未經(jīng)身份驗(yàn)證的攻擊者在受影響的設(shè)備上遠(yuǎn)程執(zhí)行代碼。
零日漏洞存在于Adobe Flash Player 28.0.0.161之前的版本中,能讓攻擊者通過(guò)網(wǎng)絡(luò)或郵件傳播包含惡意Flash內(nèi)容的Office文檔,獲得系統(tǒng)控制權(quán)、執(zhí)行任意代碼。微軟已發(fā)布一個(gè)編號(hào)KB4074595的新補(bǔ)丁。
在思科發(fā)布補(bǔ)丁后,研究人員發(fā)現(xiàn)該漏洞(CVE-2018-0101)還會(huì)引起拒絕服務(wù),可能會(huì)對(duì)ASA平臺(tái)造成一定影響。思科于近期再次發(fā)布了一個(gè)安全更新。
ERPScan團(tuán)隊(duì)分析了Oracle公司Micros POS機(jī)中存在的高風(fēng)險(xiǎn)安全漏洞,該漏洞允許攻擊者在未經(jīng)驗(yàn)證的情況下對(duì)服務(wù)器數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)和讀寫(xiě),以獲得用戶名和密碼,致使公司的整個(gè)業(yè)務(wù)數(shù)據(jù)都受到威脅。
McAfee研究人員發(fā)現(xiàn)網(wǎng)絡(luò)犯罪組織Lazarus正進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng),該活動(dòng)以比特幣為目標(biāo),使用了具有長(zhǎng)期影響力的復(fù)雜惡意軟件,用于長(zhǎng)期的數(shù)據(jù)收集。
安全公司CrowdStrike發(fā)現(xiàn)了一款名為WannaMine的新型Monero加密挖掘蠕蟲(chóng),其利用“永恒之藍(lán)”漏洞進(jìn)行傳播,WannaMine使用憑證收割機(jī)Mimikatz來(lái)收集用戶憑據(jù),從而達(dá)到橫向移動(dòng)的目的。CrowdStrike公司稱,目前一些礦業(yè)的日常運(yùn)營(yíng)已經(jīng)受到WannaMine的影響。
研究人員發(fā)現(xiàn)“技術(shù)支持詐騙”攻擊也可作用在Chrome瀏覽器,攻擊者利用瀏覽器的Blob和msSaveblob接口,讓瀏覽器下載成千上萬(wàn)個(gè)文件,使瀏覽器在數(shù)秒內(nèi)失去響應(yīng)。
安全研究人員發(fā)現(xiàn)一個(gè)名為Smominru的新的全球僵尸網(wǎng)絡(luò),瞄準(zhǔn)Windows系統(tǒng),利用“永恒之藍(lán)”漏洞來(lái)傳播門(mén)羅幣挖礦。
SentinelOne公司發(fā)現(xiàn),黑客利用熱門(mén)軟件下載網(wǎng)站MacUpdate向Mac用戶分發(fā)名為 OSX.CreativeUpdate的加密貨幣挖掘礦工,通過(guò)劫持用戶設(shè)備的CPU秘密竊取門(mén)羅幣。
加密貨幣初創(chuàng)企業(yè)BeeToken被黑客入侵,攻擊者采用釣魚(yú)攻擊并成功盜走了部分Ethereum。該公司警告用戶謹(jǐn)慎使用電子郵件和Telegram軟件。
GoSecure公司研究人員發(fā)現(xiàn)黑客組織正在對(duì)使用弱密碼保護(hù)的Linux系統(tǒng)發(fā)起SSH暴力攻擊,以部署一個(gè)名為Chaos的后門(mén)。據(jù)悉,該后門(mén)可能會(huì)被野外攻擊者用于全球范圍內(nèi)Linux服務(wù)器。GoSecure公司建議受感染的主機(jī)從一個(gè)可靠的備份中重新安裝,并提供一組新的憑據(jù)。
LMNTRIX公司發(fā)現(xiàn)名為GandCrab的新型勒索軟件,該勒索軟件通過(guò)感染受害用戶系統(tǒng)以獲得達(dá)世幣(DASH)贖金,有黑客利用RIG及GrandSoft等開(kāi)發(fā)工具包來(lái)分發(fā)該勒索軟件。
以上信息分別來(lái)源于“HackerNews”、“安全客”