1、VxWorks修复11个安全漏洞,影响超过20亿台设备
Armis研究人员在VxWorks RTOS中发现11个安全漏洞,这些漏洞影响了航空航天、国防、工业、医疗、汽车、消费电子等领域的20多亿台设备。这些漏洞被统称为URGENT/11,可允许远程攻击者绕过传统的安全解决方案并完全控制受影响的设备或类似永恒之蓝一样导致大规模的设备中断,并且无需用户交互。这些漏洞存在于VxWorks 6.5之后的TCP/IP协议栈中,影响了过去13年来发布的所有VxWorks版本。该公司已经在上个月发布了修复补丁,但这些补丁通过设备厂商到达消费者可能还需要一定的时间。
原文链接:https://thehackernews.com/2019/07/vxworks-rtos-vulnerability.html
2、谷歌研究人员披露iOS中的4个RCE漏洞及其PoC
谷歌研究人员披露iOS中的4个漏洞的详细信息和PoC,这些漏洞可允许远程攻击者通过iMessage发送恶意消息来攻击目标iOS设备。漏洞类型包括use-after-free(CVE-2019-8647和CVE-2019-8662)、内存损坏(CVE-2019-8660)以及越界读(CVE-2019-8646),所有漏洞都无需用户交互,并且可导致RCE或远程文件读取。此外,研究人员还披露了watchOS中的越界读漏洞(CVE-2019-8624)的PoC。所有漏洞都已在苹果本月发布的更新中修复。
原文链接:https://thehackernews.com/2019/07/apple-ios-vulnerabilities.html
3、电子商务平台OXID修复可导致网站被接管的漏洞
电子商务平台OXID发布安全更新,修复可允许未经身份验证的远程攻击者接管网站的漏洞。OXID是德国的一个流行电商解决方案,包括梅赛德斯等知名品牌都在使用它,其下载量超过50万次。该漏洞(CVE-2019-13026)是SQL注入漏洞和PHP对象注入漏洞的结合,最终可导致RCE。OXID eShop版本6.0.0到6.0.4、6.1.0到6.1.3均受影响,建议管理员更新至版本6.0.5和6.1.4。
原文链接:https://www.bleepingcomputer.com/news/security/oxid-eshop-used-by-mercedes-fixes-remote-takeover-security-bug/
4、洛杉矶警局泄露2500名警员及1.75万申请人的隐私信息
据当地媒体报道,洛杉矶警局(LAPD)遭遇数据泄露事件,导致2500名警员和约1.75万名警察申请人的个人信息曝光。泄露的信息包括姓名、电子邮件地址、密码以及出生日期。LAPD已经证实了这一事件,并表示正在确定事件影响的范围以及通知受影响的个人。市长Eric Garcetti在一份声明中表示该事件与人事部门不再使用的一个旧数据库有关。
原文链接:https://www.bleepingcomputer.com/news/security/lapd-data-breach-exposes-personal-info-of-roughly-25k-officers/
5、佐治亚州巡逻机构遭勒索软件攻击,邮件系统已瘫痪
根据当地新闻机构WHNT报道,7月26日佐治亚州巡逻队(GSP)遭到勒索软件攻击,该部门已关闭了服务器和网络作为预防措施。GSP是佐治亚州公共安全部的一个部门,一名职员在其计算机上弹出一条奇怪的通知后报告了这一问题。GSP已确认该事件可能会略微影响其响应时间,但部门成员仍有其它通信渠道,例如无线电调度。该部门并未停止运营。截至周一,攻击者并未提出任何赎金要求。
原文链接:https://www.scmagazine.com/home/security-news/ransomware/georgia-state-patrol-agency-infected-with-ransomware/
6、新Android勒索软件FileCoder,主要通过垃圾短信传播
ESET研究团队发现新Android勒索软件Android/Filecoder.C。该勒索软件在7月12日被首次发现,攻击者通过在Reddit和XDA Developers社区上发布帖子来分发payload。在感染设备后,Filecoder.C会向用户的联系人列表发送包含恶意链接的短信以进行传播。该勒索软件要求的赎金为94至188美元之间。由于该勒索软件在代码中硬编码了加密私钥的值,因此受害者无需支付赎金也可解密数据。
原文链接:https://www.bleepingcomputer.com/news/security/new-android-ransomware-uses-sms-spam-to-infect-its-victims/
京公网安备11010802024551号