UC浏览器中间人攻击,波及5亿用户;勒索软件LockerGoga;华为PCManager提权和RCE漏洞
发布时间 2019-03-27
1、UC浏览器易遭中间人攻击,波及5亿用户
根据安全厂商Dr. Web发布的一份新报告,UC浏览器至少从2016年开始就具有一个隐藏的功能,可从公司的服务器向用户的Android设备下载并安装新的库和模块。由于此功能是基于HTTP协议,使得攻击者可执行MiTM攻击并向用户推送恶意模块。UC浏览器并未检查插件的签名,这意味着恶意模块将会无需验证而直接启动。此外,这一功能也违反了Google Play的安全政策。所有版本的UC浏览器和UC Mini浏览器均受影响,据称该浏览器在中国和印度拥有超过5亿用户。
2、美国Hexion和Momentive公司遭勒索软件LockerGoga攻击
美国化学品制造公司Hexion和Momentive成为勒索软件LockerGoga的最新受害者。根据Momentive匿名员工的说法,攻击事件发生在3月12日,由于此次攻击,系统中的所有数据均已丢失。根据Motherboard的报告,此次攻击事件中的样本与之前针对挪威铝厂Norsk Hydro的攻击样本具有相同的特征。Momentive确认了此次攻击,但Hexion尚未披露任何相关细节。
3、谷歌修复Chrome中的邪恶光标漏洞,已被技术支持诈骗利用
谷歌修复了Chrome中的邪恶光标漏洞,该漏洞目前已被技术支持诈骗者在野外积极利用,具体来说,攻击者将标准的32×32像素鼠标光标图形替换成128或256像素大小的图形,普通的光标仍然会出现在屏幕上,但会出现在较大透明边界框的角落,通过这种方式,攻击者可以阻止用户关闭并离开恶意页面。在修复补丁中,当鼠标悬停在Chrome的标签栏、地址栏、菜单等区域时,Chrome会自动将鼠标还原为标准OS图形。
4、Grandstream设备多个安全漏洞,可导致恶意软件被安装及窃听
根据Trustwave SpiderLabs发布的报告,Grandstream面向中小型企业的多个网络设备(IP PBX、会议设备、IP视频电话和路由器)存在安全漏洞,攻击者可利用这些漏洞安装恶意软件及窃听摄像头和麦克风。由于所有设备都以root权限运行,因此攻击者可以远程执行任意代码及任意操作。这些漏洞于2018年12月报告给Grandstream,该公司已经发布了相关修复补丁。
微软研究人员在华为的PCManager工具中发现两个安全漏洞。PCManager是预装在MateBook笔记本电脑上的管理工具,研究人员发现该工具的设备管理驱动程序存在本地提权漏洞(CVE-2019-5241)和任意代码执行漏洞(CVE-2019-5242)。华为已在1月份修复了这两个漏洞。
6、苹果发布iOS 12.2,共修复51个安全漏洞
本周一苹果发布iOS 12.2,修复了51个安全漏洞,受影响的设备包括iPhone 5s及之后的版本、iPad Air及之后的版本和iPod touch 6。大多数漏洞都与Web渲染引擎WebKit有关,漏洞范围包括任意代码执行、敏感信息泄露、沙箱绕过及XSS攻击等。此外,苹果还修复了iOS内核中的6个漏洞,包括DoS漏洞(CVE-2019-8527)和提权漏洞(CVE-2019-8514)等。
声明:本资讯由启明星辰维他命安全小组翻译和整理
根据安全厂商Dr. Web发布的一份新报告,UC浏览器至少从2016年开始就具有一个隐藏的功能,可从公司的服务器向用户的Android设备下载并安装新的库和模块。由于此功能是基于HTTP协议,使得攻击者可执行MiTM攻击并向用户推送恶意模块。UC浏览器并未检查插件的签名,这意味着恶意模块将会无需验证而直接启动。此外,这一功能也违反了Google Play的安全政策。所有版本的UC浏览器和UC Mini浏览器均受影响,据称该浏览器在中国和印度拥有超过5亿用户。
原文链接:
https://thehackernews.com/2019/03/uc-browser-android-hacking.html2、美国Hexion和Momentive公司遭勒索软件LockerGoga攻击
美国化学品制造公司Hexion和Momentive成为勒索软件LockerGoga的最新受害者。根据Momentive匿名员工的说法,攻击事件发生在3月12日,由于此次攻击,系统中的所有数据均已丢失。根据Motherboard的报告,此次攻击事件中的样本与之前针对挪威铝厂Norsk Hydro的攻击样本具有相同的特征。Momentive确认了此次攻击,但Hexion尚未披露任何相关细节。
原文链接:
https://cyware.com/news/lockergoga-ransomware-hits-two-more-companies-in-the-manufacturing-sector-c82741603、谷歌修复Chrome中的邪恶光标漏洞,已被技术支持诈骗利用
谷歌修复了Chrome中的邪恶光标漏洞,该漏洞目前已被技术支持诈骗者在野外积极利用,具体来说,攻击者将标准的32×32像素鼠标光标图形替换成128或256像素大小的图形,普通的光标仍然会出现在屏幕上,但会出现在较大透明边界框的角落,通过这种方式,攻击者可以阻止用户关闭并离开恶意页面。在修复补丁中,当鼠标悬停在Chrome的标签栏、地址栏、菜单等区域时,Chrome会自动将鼠标还原为标准OS图形。
原文链接:
https://www.zdnet.com/article/google-fixes-chrome-evil-cursor-bug-abused-by-tech-support-scam-sites/4、Grandstream设备多个安全漏洞,可导致恶意软件被安装及窃听
根据Trustwave SpiderLabs发布的报告,Grandstream面向中小型企业的多个网络设备(IP PBX、会议设备、IP视频电话和路由器)存在安全漏洞,攻击者可利用这些漏洞安装恶意软件及窃听摄像头和麦克风。由于所有设备都以root权限运行,因此攻击者可以远程执行任意代码及任意操作。这些漏洞于2018年12月报告给Grandstream,该公司已经发布了相关修复补丁。
原文链接:
https://threatpost.com/grandstream-bugs-smbs-attacks/143141/
5、研究团队发现华为PCManager存在提权及代码执行漏洞
微软研究人员在华为的PCManager工具中发现两个安全漏洞。PCManager是预装在MateBook笔记本电脑上的管理工具,研究人员发现该工具的设备管理驱动程序存在本地提权漏洞(CVE-2019-5241)和任意代码执行漏洞(CVE-2019-5242)。华为已在1月份修复了这两个漏洞。
原文链接:
https://securityaffairs.co/wordpress/82893/hacking/huawei-tool-flaws.html6、苹果发布iOS 12.2,共修复51个安全漏洞
本周一苹果发布iOS 12.2,修复了51个安全漏洞,受影响的设备包括iPhone 5s及之后的版本、iPad Air及之后的版本和iPod touch 6。大多数漏洞都与Web渲染引擎WebKit有关,漏洞范围包括任意代码执行、敏感信息泄露、沙箱绕过及XSS攻击等。此外,苹果还修复了iOS内核中的6个漏洞,包括DoS漏洞(CVE-2019-8527)和提权漏洞(CVE-2019-8514)等。
原文链接:
https://thehackernews.com/2019/03/ios-update-iphone-security.html声明:本资讯由启明星辰维他命安全小组翻译和整理
京公网安备11010802024551号