当前位置: 首页 > 网络安全 > 正文

网络安全一周安全头条 ( 2020.1.2-2020.1.20 )

【来源: | 发布日期:2020-01-18 】

漏洞补丁 苹果 iOS13.3 tfp0漏洞 系统越狱

在苹果最新的iOS 13.3固件更新中发现了tfp0漏洞,即“task for pid 0”(即内核任务端口)的简称,包括A13处理器在内的iPhone均受影响。据悉,这个漏洞同样存在于A12(X)设备中,通过uncOver可以对最高iOS 12.4.1。目前唯一适用于iOS 13的越狱漏洞是checkra1n,并且仅适用于iPhone X及以下的A7-A11设备。

漏洞补丁 撞库脱库 Twitter 用户数据

据外媒报道,一名安全研究员日前表示,他通过利用Twitter Android应用中的一个漏洞将1700万个电话号码跟Twitter用户的账号户匹配了起来。这位名叫Ibrahim Balic的研究人员发现可以通过Twitter的联系人上传功能上传生成的完整的电话号码列表。换言之,如果用户在Twitter上上传了自己的电话号码那么平台就会获取用户数据。对此,Twitter方面表示正在努力确保不让这个漏洞再次遭到利用。据悉,Balic此前因在2013年发现影响苹果开发中心的安全漏洞而出名。

漏洞补丁 Citrix 内网访问

近日,Positive Technologies专家发现Citrix产品存在一重磅级安全漏洞(CVE-2019-19781),利用这个安全漏洞,攻击者不需要访问任何帐户,就能直接访问公司内网 。据悉,该漏洞会影响该产品的所有版本以及支持该产品的所有平台,包括Citrix ADC和Citrix Gateway 13.0,12.1,12.0,11.1和10.5。截止目前,据估计,158个国家/地区的80,000家公司面临潜在风险,其中大多数在美国 (38%),其次是英国,德国,荷兰和澳大利亚。

数据泄露 Wawa 支付卡信息

信息安全团队近日发现,700多家天然气和便利连锁店(Wawa)的数千名客户支付卡信息被泄露,泄露信息包括卡号、有效期和客户名称。据悉,黑客自2019年3月起,持续在Wawa商店的销售服务器上安装恶意软件,直到感染付款处理系统。截至目前,该恶意软件已被完全删除,专家建议用户及时查看支付卡对账单,一旦发现任何未经授权的费用,立即通知支付卡发行机构处理。

【数据泄露 WYZE】

近日,智能家居技术制造商 Wyze Labs 首席执行官宋东升发布公告证实,从 12 月 4 日至 12 月 26 日,在超过三周的时间内,连接到 Elasticsearch 集群的生产数据库泄露了超过 240 万用户的用户数据。

接到安全媒体 IPVM 的通知后 6 小时内,Wyze 紧急注销了所有摄像头用户账户,用户需要重新登录其帐户并生成新的双因子认证 (2FA) 代码,以连接到 Alexa,Google 助手或 IFTTT 的 Wyze 关联服务。

最早曝光该事件的 Twelve Security(十二安全)公司在博客发布安全报告称泄露数据被传回了阿里云。

【勒索软件 美国海岸警卫队】

近日,美国海岸警卫队 (USCG) 发布了一个海上安全警报,确认遭受 Ryuk 勒索软件攻击,导致《海上运输安全法》(MTSA) 监管的一处设施的整个 IT 网络瘫痪。尽管事件仍处于调查中,但海岸警卫队透露,网络钓鱼电子邮件的入口很可能是在 MTSA 设施网络内部。

海岸警卫队指出:一旦员工点击了电子邮件中的恶意链接,攻击者就能够访问重要的企业信息技术网络文件并对其进行加密,从而阻止了该设施访问关键文件。

【勒索软件 荷兰大学】

近日,荷兰的马斯特里赫特大学 (UM) 宣布,在 12 月 23 日星期一遭遇勒索软件攻击后,几乎所有 Windows 系统都已被勒索软件加密。UM 当前正在研究解决方案。

目前尚不清楚攻击者在攻击过程中是否使用了未知的勒索软件对系统进行加密,以及攻击前是否窃取了科学数据。该大学声称:为了尽可能安全地工作,学校暂时将所有系统脱机。一切目的都是为了使学生和员工能够尽快,分阶段地访问系统。