Mozilla发布Firefox安全更新修复任意代码执行漏洞;黑客入侵芝加哥警局应急无线电系统,干扰警方活动
发布时间 2020-06-051.Mozilla发布Firefox安全更新,修复多个任意代码执行漏洞
Mozilla为Firefox发布了安全更新,修复了8个安全漏洞。其中3个被确认为任意代码执行漏洞,包括处理NativeTypes时的JavaScript类型混淆漏洞(CVE-2020-12406)及内存损坏漏洞(CVE-2020-12410和CVE-2020-12411)。有一个好消息是,这3个代码执行漏洞都是Mozilla开发人员在内部发现的,并未在野利用。此次修复的其他较为严重的漏洞是CVE-2020-12399,该漏洞在NSS执行DSA签名时显示时序差异可导致私钥泄露,以及漏洞CVE-2020-12405,存在SharedWorkService组件中的use-after-free()中,当通过web页面利用时可能导致可利用崩溃。
原文链接:
https://www.theregister.com/2020/06/04/firefox_77_security_fixes/
2.Talos披露Zoom中两个漏洞,可被利用执行恶意代码
思科Talos的研究人员披露了Zoom中的两个漏洞,这些漏洞可能导致远程攻击者通过聊天功能入侵受害者的系统。这两个均为路径遍历漏洞,攻击者可以利用这些漏洞写入或植入任意文件,以执行恶意代码。其中第一个漏洞被跟踪为CVE-2020-6109,与Zoom处理动画GIF的方式有关,Zoom没有检查GIF源,从而使攻击者可以发送特制的GIF进行攻击。第二个漏洞是被跟踪为CVE-2020-6110,该漏洞位于Zoom处理包括共享代码段在内的消息的方式中。这两个漏洞都影响了Zoom 4.6.10版本,并且该公司在其4.6.12版本中修复了他们。
原文链接:
https://securityaffairs.co/wordpress/104249/hacking/zoom-security-flaws.html
3.暴乱期间黑客入侵芝加哥警局应急无线电系统,干扰警方活动
美国George Floyd之死引发的暴乱期间,黑客入侵了芝加哥警局应急无线电系统,并对警方活动进行干扰。上周末,黑客获得了其无线电系用的访问权,并播放暴动口号和暗示美国种族主义的歌曲。芝加哥警局有部分加密的无线电频率,但是大多数巡逻警员使用的无线电还是易被攻击的。这导致了警员在执行任务时无法使用对讲机与调度员联系,或是寻求帮助。公共安全信息技术的Dan Casey表示,这样做非常危险。目前,地方和联邦调查局已经对此事展开调查。
原文链接:
https://www.infosecurity-magazine.com/news/chicago-police-scanner-jammed-amid/
4.Maze声称已成功攻击Conduent,窃取未加密的文件并加密其设备
Maze勒索软件团伙声称已经成功攻击了位于新泽西州的商业服务公司Conduent,窃取了未加密的文件并加密了其设备。5月29日,Conduent发布声明确认其遭到了勒索软件攻击,此次攻击导致其欧洲业务的服务中断10小时。Maze于6月4日在其数据泄漏网站发布了发布了1GB文件以证明其在2020年5的攻击,泄露文件为BusinessIntelligence.zip和Compliance1.zip,包括各种财务电子表格、客户审计、发票、佣金对帐单和其他杂项文档。威胁情报公司Bad Packets表示,在2019年12月17日至2020年2月14日之间的至少八周内,Conduent的服务器Citrix存在漏洞(CVE-2019-19781),该漏洞可被利用执行远程代码,曾被黑客利用破坏网络并部署勒索软件。
原文链接:
https://www.bleepingcomputer.com/news/security/business-services-giant-conduent-hit-by-maze-ransomware/
5.2019年黑客泄露50亿条数据,给美国造成1.2万亿美元损失
据ForgeRock统计数据,黑客在2019年泄露了超过50亿条记录,给美国组织造成了超过1.2万亿美元的损失。其中,医疗保健行业受到攻击次数最多,2019年总共报告了382起泄露事件,损失超过2.45亿美元。而技术公司被泄露数据的数量最多,2019年泄露超过13.7亿条数据,总计损失超过2500亿美元。个人识别信息(PII)仍然是攻击者最主要的目标数据,在2019年98%的数据事件中暴露了该信息,其中社会安全号码(SSN)是最容易受到攻击的数据类型。ForgeRock首席技术官Eve Maler表示,网络罪犯正在不断完善其攻击媒介,以窃取消费者数据。
原文链接:
https://www.helpnetsecurity.com/2020/06/04/cybercriminals-exposed-5-billion-records-in-2019/
6.黑客在暗网出售超过10万印度公民身份证,目前来源未知
网络情报公司Cyble本周三表示,黑客正在暗网出售超过10万印度公民的个人信息,包括扫描的身份证复印件、Aadhaar、PAN卡和护照。这些泄露的个人数据可以导致各种恶意活动,例如身份盗窃、诈骗和企业间谍活动。Cyble初步分析表明,这些数据似乎来自第三方公司而不是政府系统,目前,研究人员仍在对此进行进一步调查,以确定数据的具体来源。
原文链接:
https://ciso.economictimes.indiatimes.com/news/over-1-lakh-national-ids-of-indians-put-on-dark-net-for-sale-cyber-intelligence-firm/76177587
京公网安备11010802024551号