Autodesk、趋势科技及卡巴斯基曝DLL挟制误差;微软OAuth验证历程保存误差,可导致Azure帐户被接受

宣布时间 2019-12-04

1.Autodesk、趋势科技及卡巴斯基曝DLL挟制误差


尊龙凯时 - 人生就是搏!


SafeBreach Labs研究职员披露Autodesk、趋势科技和卡巴斯基软件中的DLL挟制误差 。趋势科技清静软件16.0.1221及以下版本受到CVE-2019-15628影响,该误差保存于coreServiceShell.exe组件中 。由于未对加载的DLL署名举行验证,因此攻击者可加载和执行恣意DLL,导致白名单绕过、获得长期性、逃避检测以及潜在的特权升级等 。Kaspersky Secure Connection和Autodesk桌面应用也划分受到类似的误差CVE-2019-15689和CVE-2019-7365的影响 。


原文链接:

https://www.zdnet.com/article/researchers-disclose-bugs-in-autodesk-trend-micro-kaspersky-software/


2.微软OAuth验证历程保存误差,可导致Azure帐户被接受


尊龙凯时 - 人生就是搏!


CyberArk清静研究员Omer Tsarfati发明微软的应用程序使用OAuth举行第三方身份验证的方法中保存清静误差,可能使攻击者接受用户的Azure云帐户 。OAuth是一种身份验证协议,允许应用程序与第三方网站或软件共享用户账户数据 。在微软的OAuth授权流程中,第三方将是经由微软批准的白名单URL 。研究职员发明这些被信任的白名单URL中包括一些未在Azure门户中注册的URL,例如.cloudapp.net、.azurewebsites.net和.{vm_region}.cloudapp.azure.com 。研究职员发明至少有54个类似的子域未在未在Azure门户中注册,攻击者可以通过注册这些域来会见微软用户的数据 。微软在11月19日修复了该问题 。


原文链接:

https://threatpost.com/microsoft-oauth-flaw-azure-takeover/150737/


3.谷歌宣布12月Android清静更新, 修复多个误差


尊龙凯时 - 人生就是搏!


谷歌的12月Android清静更新由2019-12-01和2019-12-05两个清静补丁程序级别组成,其中2019-12-01补丁包中修复了15个误差 。最严重的误差是Framework组件中的DoS误差CVE-2019-2232,该误差影响了Android版本8.0、8.1、9和10,远程攻击者可通过发送恶意新闻导致永世拒绝服务 。其它严重的误差还包括Media框架中的要害误差CVE-2019-2222和CVE-2019-2223,远程攻击者可使用该误差在特权历程的上下文中执行代码 。本次清静更新中高通闭源组件修复了22个误差,受影响的组件包括多模式呼叫处置惩罚器、宽带码分多址和调制解调器等 。


原文链接:

https://source.android.com/security/bulletin/2019-12-01


4.美国枪支制造商Smith&Wesson遭MageCart攻击


尊龙凯时 - 人生就是搏!


美国枪支制造商Smith&Wesson的在线市肆遭到Magecart攻击,客户支付信息可能被窃 。凭证Sanguine Security的研究职员Willem de Groot的说法,Smith&Wesson的网站在玄色星期五之前已经被入侵,并且只针对美国IP地址的客户 。通俗客户在会见该网站时只会下载一个11KB的正常JavaScript剧本,但美国IP的客户在会见时则会下载一个20KB的恶意剧本,并显示伪造的支付页面 。该公司尚未对此事务举行回应 。


原文链接:

https://www.bleepingcomputer.com/news/security/smith-and-wesson-web-site-hacked-to-steal-customer-payment-info/


5.澳大利亚Monash IVF员工邮箱被黑客入侵


尊龙凯时 - 人生就是搏!


澳大利亚最大的试管婴儿服务商Monash IVF忠言患者其多名员工的电子邮箱遭到垂纶攻击,客户的小我私家信息可能被泄露 。该公司的首席执行官Michael Knaap于11月6日确认,黑客会见了多名员工的电子邮件、邮箱地址和通讯录,其中一些邮件中可能包括患者的小我私家信息,例如姓名和联系方法、配偶信息、出生日期、国籍、职业、财务数据、医疗包管信息、监控信息、驾照或护照ID及病历等 。该公司已经通知了澳大利亚信息专员办公室和澳大利亚网络清静中心(ACSC),并对此事务睁开视察 。


原文链接:

https://www.smh.com.au/national/fears-over-patient-data-breach-after-cyber-attack-on-monash-ivf-20191203-p53gj0.html


6.Tuft&Needle意外泄露23.6万个客户快递标签


尊龙凯时 - 人生就是搏!


床上用品公司Tuft&Needle意外将236400个客户的快递标签遗留在可果真会见的AWS存储桶中,使得任何人都可会见客户的姓名、地址和电话号码等信息 。这些标签是在该公司于2014年至2017年之间建设的 。总部位于英国的清静厂商Fidus Information Security发明了袒露的数据并举行了验证 。Tuft&Needle在接到报告后迅速关闭了该存储桶的会见权限 。


原文链接:

https://techcrunch.com/2019/12/02/tuft-and-needle-exposed-shipping-labels/