当前位置: 首页 > 网络安全 > 正文

网络安全一周安全头条(2020.8.24-2020.8.30)

【来源: | 发布日期:2020-09-01 】

行业动态 政策法规 《关于联合开展未成年人网络环境专项治理行动的通知》

日前,教育部、国家新闻出版署、中央网信办、工业和信息化部、公安部、市场监管总局等六部门联合下发《教育部等六部门关于联合开展未成年人网络环境专项治理行动的通知》,启动开展未成年人网络环境专项治理行动。

行业动态 政策法规 《中国禁止出口限制出口技术目录》

日前,商务部、科技部调整发布《中国禁止出口限制出口技术目录》(商务部 科技部公告2020年第38号)。本次调整共涉及53项技术条目:一是删除了4项禁止出口的技术条目;二是删除5项限制出口的技术条目;三是新增23项限制出口的技术条目;四是对21项技术条目的控制要点和技术参数进行了修改。

报告调研 CWE 软件漏洞

近日,在CWE(通用漏洞枚举)最新发布的2020年25种最危险软件漏洞榜单中,跨站脚本(XSS)名列榜首。在2020年榜单的编制中,CWE团队参考了美国国家标准技术研究院(NIST)国家漏洞数据库(NVD)中的常见漏洞、暴露(CVE)数据以及与每个CVE相关的通用漏洞评分系统(CVSS)分数。在今年的榜单中,第二大漏洞则是“越界写入”,该漏洞的威胁评分为46.16,仅略微低于跨站脚本的得分。

报告调研 数据泄露

根据Onapsis的最新研究,在过去两年中,依赖SAP或Oracle的企业用户中有近三分之二遭受了ERP系统的入侵和数据泄露。在遭受数据泄露的SAP或Oracle E-Business Suite(EBS)64%中,销售数据(50%)最容易受到泄露,其次是人力资源数据(45%)、个人客户信息(41%)、知识产权(36%)和财务数据(34%)。

技术产品 Java IntelliJ IDEA 2020.2.1新版本

近日,Java 开发工具 IntelliJ IDEA 2020.2.1 正式发布。据悉, IntelliJ IDEA 2020.2.1的主要新增功能包括:修复了 Lombok 插件被异常阻止的问题、改进了 Gradle 和 Maven 项目的自动导入UX、将为 GitHub Enterprise 服务器上的所有项目打开Pull Requests工具窗口、Windows Defender 警告将不再中断用户工作等。

https://www.ithome.com/0/505/427.html

漏洞补丁 QEMU-KVM虚拟机 0day安全漏洞

ISC2020第八届互联网安全大会上,QEMU-KVM虚拟机的0day漏洞(虚拟机逃逸)被公开。该漏洞可越界读写某一个堆之后0xffffffff(4 GB内存)的内容,可实现完整的虚拟机逃逸。阿里云已于2019年12月完成该漏洞的修复,云上主机已不受该漏洞影响。2020年8月24日,qemu官方更新了安全补丁修复该漏洞,漏洞编号:CVE-2020-14364,https://xenbits.xen.org/xsa/advisory-335.html。

漏洞补丁 jackson-databind 反序列化远程代码

2020年8月27日,阿里云应急响应中心监测到jackson-databind官方发布安全通告披露jackson-databind<2.9.10.6存在反序列化远程代码执行漏洞(CVE-2020-24616等)。利用漏洞可导致远程执行服务器命令,官方git已发布公告说明,请使用到jackson-databind jar组件的用户尽快升级至安全版本。

漏洞补丁 Apache web服务器

Apache官方近来修复了web服务器上的多个漏洞,这些漏洞可能会潜在地导致任意代码执行,并且在特定的情况下,攻击者可以造成系统崩溃以及拒绝服务攻击。这些漏洞的编号分别为CVE-2020-9490、CVE-2020-11984、CVE-2020-11993,由谷歌的“零项目”网络安全团队的Felix Wilhelm所揭露。此后,Apache基金会已经在最新的版本(2.4.46)中将漏洞处理。

https://www.t00ls.net/articles-57672.html

漏洞补丁 Windows CVE-2020-13699

近日,安全人士在TeamViewer 15.8.3之前的Windows桌面版本中发现了高危漏洞(CVE-2020-13699)。通过利用此漏洞,攻击者可以在受害者的系统上远程执行代码或破解其TeamViewer密码。据悉,存在漏洞CVE-2020-13699的Windows版TeamViewer未正确引用其自定义URI处理程序,使得攻击者可以迫使受害者发送NTLM身份验证请求,并中继该请求或捕获哈希以进行离线密码破解。

黑客攻击 新西兰证券交易所

据CNBC报道,当地时间8月27日上午,新西兰证券交易所(NZX)再次发生崩溃,交易所股价和指数报价无法获取,这已经是该交易所连续第三天发生崩溃。新西兰证券交易所是新西兰唯一的注册证券交易所,8月25日和26日,该交易所多次遭受分布式拒绝服务(DDoS)攻击,被迫短时中断交易。其网站和市场公告平台也受到影响。

黑客攻击 网上商店

在本周的技术报告中,研究人员证明一个网络犯罪组织UltraRank,专门感染网上商店以窃取支付卡数据,破坏了将近700个网站和十多个第三方服务提供商。UltraRank至少从2015年起就活跃起来,使用了多个网络浏览器、恶意JavaScript代码。目前该团伙正在通过会员卡商店出售偷窃的付款信息,每周赚取数万美元。

数据泄露 Instagram TikTok YouTube

据外媒报道,Comparitech的安全研究小组日前披露了一个不安全的数据库,导致2.35亿Instagram、TikTok和YouTube用户的资料泄露到网上。研究人员发现,泄露的大部分数据来自另一家现已倒闭的公司Deep Social。Comparitech研究人员表示,根据其收集的样本,五分之一的记录中包含电话号码或电子邮件地址。其中每条记录还包括:账户名称、个人照片、账户描述、粉丝数、性别、年龄、发帖时间等部分或全部信息。

https://www.csbit.cn/article/63/1251.html

数据泄露 Experian

消费者信用报告机构南非益百利(Experian)南非分行本周披露了一项数据泄露事件,该公司透露,在数据泄露中仅暴露了个人信息,没有涉及财务或信用方面的信息。该信贷机构没有透露受影响用户的确切数量,但是根据南非银行风险中心(SABRIC)发布的报告,安全事件可能已经影响了2400万南非公民和793,749家当地企业。

https://www.csbit.cn/article/63/1253.html

数据泄露 Freepik

提供免费照片和设计图形的流行网站Freepik近日披露了一项重大安全漏洞,Freepik表示,黑客通过对该公司Flaticon网站的SQL注入攻击,能够窃取830万Freepik和Flaticon用户的电子邮件和密码哈希。该公司目前正在调查此事件,为响应此事件,该公司取消了使用盐腌MD5散列密码的账户的密码,并通过电子邮件敦促他们重置密码。

https://www.csbit.cn/article/63/1252.html