苹果发布安全更新,修复多个产品中的漏洞;加密货币交易所KuCoin遭攻击,1.5亿美元货币被盗

发布时间 2020-09-27

1.苹果发布安全更新,修复多个产品中的漏洞


1.png


苹果发布安全更新,修复了macOS Catalina、High Sierra和Mojave,以及Windows iCloud中的多个漏洞。此次修复的漏洞分别为I/O组件的越界读取漏洞(CVE-2020-9973),涉及到处理恶意的USD文件,可导致任意代码执行或DoS攻击;ImageIO中的越界读取漏洞(CVE-2020-9961),可导致任意代码执行;沙盒中的漏洞(CVE-2020-9968)可允许恶意应用程序访问受限制的文件;WebKit中的漏洞(CVE-2020-9952)可允许跨站点脚本攻击;Mail中漏洞(CVE-2020-9941)可使远程攻击者更改应用程序状态。


原文链接:

https://us-cert.cisa.gov/ncas/current-activity/2020/09/25/apple-releases-security-updates


2.Google发布Chrome 85安全更新,修复多个漏洞


2.png


Google发布Chrome 85安全更新,修复多个漏洞。其中包括越界读取漏洞(CVE-2020-15960 ),扩展中的策略执行不足漏洞(CVE-2020-15961)、串行执行的策略不足漏洞(CVE-2020-15962)、扩展中的政策执行不足(CVE-2020-15963)、V8中的越界写漏洞(CVE-2020-15965)、扩展中的政策执行不足(CVE-2020-15966)和媒体中的数据验证不足漏洞(CVE-2020-15964)。


原文链接:

https://www.securityweek.com/chrome-vulnerabilities-expose-users-attacks-malicious-extensions


3.加密货币交易所KuCoin遭攻击,1.5亿美元货币被盗


3.jpg


总部位于新加坡的加密货币交易所KuCoin披露其遭到了网络攻击,价值1.5亿美元的货币被盗。该公司在声明中证实,一黑客入侵了其系统,并盗取了其热钱包中的所有资产,包括比特币、erc -20代币以及其他类型的代币。根据用户追踪被盗资金的Etherium地址,目前估计损失最小为1.5亿美元。KuCoin表示,目前已经启动了安全审计,但其尚未返回其他评论请求。


原文链接:

https://www.zdnet.com/article/kucoin-cryptocurrency-exchange-hacked-for-150-million/


4.Twitter称因其服务配置错误,用户的API密钥可能会泄露


4.jpg


Twitter称因其Developer门户上服务配置错误,用户的API密钥可能会泄露。developer.twitter.com是开发人员管理Twitter应用程序和附加API密钥的门户,同时也包含Twitter账户的访问令牌和密钥。该网站因配置问题会向浏览器发送错误指令,使其创建和存储API密钥、账户访问令牌和帐户密码的副本。对于使用公共或共享计算机的开发人员来说,他们的API密钥很可能会被泄露。


原文链接:

https://www.zdnet.com/article/twitter-warns-of-possible-api-keys-leak/


5.研究人员发现可通过浏览器登录绕过TikTok的MFA


5.jpg


研究人员发现可通过浏览器登录绕过TikTok的MFA。在TikTok推出多因素身份验证(MFA)一个月后,研究人员发现该安全功能仅针对移动应用程序启用,而其网站则未启用。因此,黑客可以通过其网站登录具有受害凭证的帐户来绕过MFA。由于网页版的中TikTok用户可用的选项有限,只能上传和发布视频,因此攻击者也无法通过更改用户密码以完全劫持帐户。但是安全研究员Zach Edwards表示,攻击者可以发起大规模毁谤运动,例如骗局宣传或政治宣传等各种主题。


原文链接:

https://www.zdnet.com/article/you-can-bypass-tiktoks-mfa-by-logging-in-via-a-browser/


6.NIST发布网络安全实践指南以帮助组织从网络攻击中恢复


6.jpg


美国国家标准技术研究院(NIST)发布了一份网络安全实践指南,以帮助组织从网络攻击中恢复。该指南指出,勒索软件攻击是目前影响企业的最具破坏性的因素之一,虽然最理想的做法是在勒索软件攻击的早期检测出它并发布预警信号,以将其影响最小化或完全阻止它。但仍有很多组织被入侵,并需要指南来帮助其从中恢复。NIST的NCCoE创建了解决方案来解决这些网络安全挑战,并针对几个测试用例(勒索软件攻击、恶意软件攻击、用户修改配置文件、管理员修改用户文件、管理员或脚本错误地修改数据库或数据库模式)进行测试了。

 

原文链接:

https://www.helpnetsecurity.com/2020/09/24/nist-guide-recover-ransomware/