Chrome、Edge和Safari均在天府杯中被攻破;路易斯安那州政府遭勒索软件攻击
发布时间 2019-11-19
1、微软发布11月Office安全更新,修复多个漏洞
微软在11月Office安全更新中为7个不同的产品发布了17个安全更新和5个累计更新,其中15个与未授权的信息访问有关。微软在17个Office安全更新中修复了6个信息泄露漏洞,包括CVE-2019-1442、CVE-2019-1443、CVE-2019-1446、CVE-2019-1448、CVE-2019-1402和CVE-2019-1409,受影响的产品包括Office 2010到Office 2016、Excel 2010到Excel 2016、SharePoint Server 2010到SharePoint Server 2019。另外两个漏洞还包括SharePoint Server 2019语言包和Office Online服务器中的安全绕过漏洞(CVE-2019-1449和CVE-2019-1457)。完整漏洞列表请参考以下链接。
2、谷歌修复Gmail动态电子邮件功能中的XSS漏洞
谷歌修复Gmail动态电子邮件功能中的XSS漏洞,根据研究人员的表述,该漏洞是DOM Clobbering攻击的一个典型例子。该漏洞存在于AMP4Email(也称为动态电子邮件)功能中,AMP4Email具有一个过滤XSS的验证系统,但研究人员发现标签中id的属性是被允许的。在AMP4Email中,id属性的某些值受到限制,但是,在AMP_MODE中如果该函数尝试加载JS文件,则错误会导致404,从而在结果URL中导致“未定义”的部分。攻击者可通过将payload写入window.testLocation来控制URL。但在实际情况中AMP的内容安全策略(CSP)功能将会阻止代码得到执行。
3、印度美妆平台Nykaa API漏洞暴露近100万用户数据
印度美妆零售平台Nykaa Fashion已修复一个可导致近100万客户信息泄露的漏洞。这是一个API漏洞,攻击者(例如黑客或电话推销员)可利用自动化脚本获取用户数据,包括订单详细信息、邮件标识、姓名、电话号码和电子邮件地址。Nykaa首席技术官Sanjay Suri在一份声明中表示,该公司已经解决了该问题并且没有个人或财务数据泄露。
4、Chrome、Edge和Safari均在天府杯中被攻破
在11月16日至17日成都举办的天府杯上,Edge、Chrome、Safari均被参赛者攻破,其它被攻破的产品还包括Office 365、iOS、小米、Vivo、VirtualBox、友讯科技的路由器、Adobe PDF 和 VMWare Workstation等。这次大赛上共有23支队伍参赛,赛制类似于Pwn2Own,共设置了100万美元奖金池。在这次为期两天的比赛中,共有20次攻击尝试获得成功,参赛者一共赢得了54.5万美元的奖金。
原文链接:
https://www.zdnet.com/article/chrome-edge-safari-hacked-at-elite-chinese-hacking-contest/
5、新钓鱼活动主要针对Microsoft Office管理员
PhishLabs发现一个针对Microsoft Office 365管理员的网络钓鱼活动。该活动始于钓鱼邮件,邮件伪装成来自Microsoft,并在顶部显示Office 365的logo,但它来自不属于Microsoft的经过验证的域。如果收件人点击了邮件中的链接,则会被重定向到虚假的Office 365登录页面。攻击者专门针对管理员的凭据,通过入侵管理员账户,他们可以潜在地控制与给定域关联的其他电子邮件帐户,还可以利用管理员帐户的权限来创建其他帐户,进行更多恶意攻击。
原文链接:
https://www.tripwire.com/state-of-security/security-data-protection/phishers-targeting-microsoft-office-365-admin-credentials/
6、路易斯安那州政府遭勒索软件攻击导致停摆
11月18日路易斯安那州政府遭到勒索软件攻击,包括车辆管理办公室、卫生部、运输与发展部在内的多个州部门已停摆。该攻击是在11点报告的,此前该州已强制关闭了由该州运营的众多网站及电子邮件服务。据当地媒体报道,该州的多个服务机构都受到干扰,包括79个机动车办公室。州长John Bel Edwards表示他已激活路易斯安那州的网络安全团队来协调此次攻击造成的破坏。目前尚不清楚该攻击事件中勒索软件的类型。
微软在11月Office安全更新中为7个不同的产品发布了17个安全更新和5个累计更新,其中15个与未授权的信息访问有关。微软在17个Office安全更新中修复了6个信息泄露漏洞,包括CVE-2019-1442、CVE-2019-1443、CVE-2019-1446、CVE-2019-1448、CVE-2019-1402和CVE-2019-1409,受影响的产品包括Office 2010到Office 2016、Excel 2010到Excel 2016、SharePoint Server 2010到SharePoint Server 2019。另外两个漏洞还包括SharePoint Server 2019语言包和Office Online服务器中的安全绕过漏洞(CVE-2019-1449和CVE-2019-1457)。完整漏洞列表请参考以下链接。
原文链接:
https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-the-november-2019-security-updates-for-office/2、谷歌修复Gmail动态电子邮件功能中的XSS漏洞
谷歌修复Gmail动态电子邮件功能中的XSS漏洞,根据研究人员的表述,该漏洞是DOM Clobbering攻击的一个典型例子。该漏洞存在于AMP4Email(也称为动态电子邮件)功能中,AMP4Email具有一个过滤XSS的验证系统,但研究人员发现标签中id的属性是被允许的。在AMP4Email中,id属性的某些值受到限制,但是,在AMP_MODE中如果该函数尝试加载JS文件,则错误会导致404,从而在结果URL中导致“未定义”的部分。攻击者可通过将payload写入window.testLocation来控制URL。但在实际情况中AMP的内容安全策略(CSP)功能将会阻止代码得到执行。
原文链接:
https://www.zdnet.com/article/google-patches-awesome-xss-vulnerability-in-gmail/3、印度美妆平台Nykaa API漏洞暴露近100万用户数据
印度美妆零售平台Nykaa Fashion已修复一个可导致近100万客户信息泄露的漏洞。这是一个API漏洞,攻击者(例如黑客或电话推销员)可利用自动化脚本获取用户数据,包括订单详细信息、邮件标识、姓名、电话号码和电子邮件地址。Nykaa首席技术官Sanjay Suri在一份声明中表示,该公司已经解决了该问题并且没有个人或财务数据泄露。
原文链接:
https://economictimes.indiatimes.com/small-biz/startups/newsbuzz/nykaa-fixes-a-data-security-bug/articleshow/72101784.cms4、Chrome、Edge和Safari均在天府杯中被攻破
在11月16日至17日成都举办的天府杯上,Edge、Chrome、Safari均被参赛者攻破,其它被攻破的产品还包括Office 365、iOS、小米、Vivo、VirtualBox、友讯科技的路由器、Adobe PDF 和 VMWare Workstation等。这次大赛上共有23支队伍参赛,赛制类似于Pwn2Own,共设置了100万美元奖金池。在这次为期两天的比赛中,共有20次攻击尝试获得成功,参赛者一共赢得了54.5万美元的奖金。
原文链接:
https://www.zdnet.com/article/chrome-edge-safari-hacked-at-elite-chinese-hacking-contest/
5、新钓鱼活动主要针对Microsoft Office管理员
PhishLabs发现一个针对Microsoft Office 365管理员的网络钓鱼活动。该活动始于钓鱼邮件,邮件伪装成来自Microsoft,并在顶部显示Office 365的logo,但它来自不属于Microsoft的经过验证的域。如果收件人点击了邮件中的链接,则会被重定向到虚假的Office 365登录页面。攻击者专门针对管理员的凭据,通过入侵管理员账户,他们可以潜在地控制与给定域关联的其他电子邮件帐户,还可以利用管理员帐户的权限来创建其他帐户,进行更多恶意攻击。
原文链接:
https://www.tripwire.com/state-of-security/security-data-protection/phishers-targeting-microsoft-office-365-admin-credentials/
6、路易斯安那州政府遭勒索软件攻击导致停摆
11月18日路易斯安那州政府遭到勒索软件攻击,包括车辆管理办公室、卫生部、运输与发展部在内的多个州部门已停摆。该攻击是在11点报告的,此前该州已强制关闭了由该州运营的众多网站及电子邮件服务。据当地媒体报道,该州的多个服务机构都受到干扰,包括79个机动车办公室。州长John Bel Edwards表示他已激活路易斯安那州的网络安全团队来协调此次攻击造成的破坏。目前尚不清楚该攻击事件中勒索软件的类型。
原文链接:
https://www.bleepingcomputer.com/news/security/louisiana-government-suffers-outage-due-to-ransomware-attack/
京公网安备11010802024551号