首页 > 安全钻研 > 安全传递 > 安全简讯

《维他命》逐日安全简讯20181115

颁布功夫 2018-11-15

1、钻研团队披露7种新熔毁和鬼魂攻击，Intel、AMD和ARM均受影响

由9名钻研人员组成的钻研幼组披露了7种新的熔毁和鬼魂攻击，其中2种是Meltdown攻击的变种，另表5种是Spectre攻击的变种。三大重要处置器厂商-Intel、AMD和ARM均受影响。该钻研幼组向Intel、AMD和ARM汇报了这些缝隙，其中Intel和ARM已经认可了他们的钻研了局。该团队还暗示，由于供给商在致力建复这些问题，他们决定暂不披露有关PoC。

原文链接：

https://thehackernews.com/2018/11/meltdown-spectre-vulnerabilities.html

2、Facebook再曝新缝隙，或可导致用户个人信息泄露

Imperva钻研员Ron Masas发现Facebook中的一个新缝隙，或可导致用户及其伴侣的个人信息泄露。该缝隙与Facebook搜索职能的了局显示有关，凭据Masas的说法，显示用户搜索了局的页面蕴含与每一条搜索了局有关联的iFrame元素，而这些iFrame元素的关联URL易受CSRF攻击。攻击者能够利用该缝隙强婆酌户执行肆意搜索查问，并获得返回的用户信息。Facebook已经建复了该缝隙。

原文链接：

https://thehackernews.com/2018/11/facebook-vulnerability-hack.html

3、安全厂商颁布2019年网络安全趋向预测汇报

Forcepoint颁布2019年网络安全趋向预测汇报，汇报的主题蕴含：网络安全中的AI是否已至冬天？大规模的工业物联网中断威胁；生物鉴别技术中的垂钓威胁；关于工作场所安全措施监测的司法律规？业务战与国度支持的工业间谍活动；边缘推算的远景与故障；对合作同伴的安全信赖评级或将越来越沉要。齐全汇报请参考以下链接。

原文链接：

https://www.forcepoint.com/blog/insights/2019-forcepoint-cybersecurity-predictions-report

4、在线商店Infowars遭Magecart攻击，约1600名用户疑受影响

荷兰安全钻研员Willem de Groot发此刻线商店Infowars习染了用于窃取用户信誉卡信息的恶意剧本Magecart。该恶意剧本在Infowars上存在了约莫24个幼时，随后就被Infowars删除，约1600名用户可能受到影响。钻研人员称这些Magecart代码暗藏在Google Analytics代码块中，仅在用户结账时激活，每隔1.5秒抓取一次结账表单中的字段内容，并发送至位于立陶宛的远程服务器google-analyitics[.]org。钻研人员还称这些恶意代码的风格与RiskIQ和Flashpoint的Magecart攻击汇报中提及的7个犯罪团伙都不一样。

原文链接：

https://www.zdnet.com/article/card-skimming-malware-removed-from-infowars-online-store/

5、Adobe颁布11月安全更新，建复Flash Player等产品中的3个缝隙

GA黄金甲·(中国区)官方网站

Adobe颁布2018年11月的月度安全更新，别离建复了Acrobat reader、Flash Player及Photoshop CC中的安全缝隙。其中Acrobat reader中的缝隙（CVE-2018-15979）可导致用户的NTLM哈希密码泄露，并且该缝隙的PoC公开可用。Flash Player中的缝隙（CVE-2018-15978）和Photoshop CC中的缝隙（CVE-2018-15980）都是可导致信息泄露的越界读缝隙。建议用户尽快进行更新。

原文链接：

https://www.bleepingcomputer.com/news/security/adobe-releases-security-update-for-acrobat-vulnerability-with-public-poc/

6、SAP颁布11月安全更新，共建复11个缝隙

本周二SAP颁布了2018年11月安全更新，建复了多款产品中的11个缝隙。缝隙领域蕴含代码注入、XSS、XXE、SSRF、回绝服务、短缺XML验证和URL沉定向等。其中较严沉的缝隙蕴含SAP HANA Streaming Analytics的Spring框架库中的远程代码执行缝隙（CVE-2018-1270和CVE-2018-1275）以及SAP Fiori客户端中的DoS缝隙（CVE-2018-2488）等。

原文链接：

https://www.securityweek.com/sap-patches-critical-vulnerability-hana-streaming-analytics

申明：本资讯由GA黄金甲维他命安全幼组翻译和整顿

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

《维他命》逐日安全简讯20181115

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线