首页 > 安全钻研 > 安全传递 > 安全简讯

VxWorks建复11个安全缝隙，影响超过20亿台设备；谷歌钻研人员披露iOS中的4个RCE缝隙及其PoC

颁布功夫 2019-07-31

1、VxWorks建复11个安全缝隙，影响超过20亿台设备

GA黄金甲·(中国区)官方网站

Armis钻研人员在VxWorks RTOS中发现11个安全缝隙，这些缝隙影响了航空航天、国防、工业、医疗、汽车、消费电子等领域的20多亿台设备。这些缝隙被统称为URGENT/11，可允许远程攻击者绕过传统的安全解决规划并齐全节造受影响的设备或类似永恒之蓝一样导致大规模的设备中断，并且无需用户交互。这些缝隙存在于VxWorks 6.5之后的TCP/IP和谈栈中，影响了从前13年来颁布的所有VxWorks版本。该公司已经在上个月颁布了建复补丁，但这些补丁通过设备厂商达到消费者可能还必要肯定的功夫。

原文链接：https://thehackernews.com/2019/07/vxworks-rtos-vulnerability.html

2、谷歌钻研人员披露iOS中的4个RCE缝隙及其PoC

GA黄金甲·(中国区)官方网站

谷歌钻研人员披露iOS中的4个缝隙的具体信息和PoC，这些缝隙可允许远程攻击者通过iMessage发送恶意新闻来攻击指标iOS设备。缝隙类型蕴含use-after-free（CVE-2019-8647和CVE-2019-8662）、内存败坏（CVE-2019-8660）以及越界读（CVE-2019-8646），所有缝隙都无需用户交互，并且可导致RCE或远程文件读取。此表，钻研人员还披露了watchOS中的越界读缝隙（CVE-2019-8624）的PoC。所有缝隙都已在苹果本月颁布的更新中建复。

原文链接：https://thehackernews.com/2019/07/apple-ios-vulnerabilities.html

3、电子商务平台OXID建复可导致网站被收受的缝隙

GA黄金甲·(中国区)官方网站

电子商务平台OXID颁布安全更新，建复可允许未经身份验证的远程攻击者收受网站的缝隙。OXID是德国的一个盛行电商解决规划，蕴含梅赛德斯等驰名品牌都在使用它，其下载量超过50万次。该缝隙（CVE-2019-13026）是SQL注入缝隙和PHP对象注入缝隙的结合，最终可导致RCE。OXID eShop版本6.0.0到6.0.4、6.1.0到6.1.3均受影响，建议治理员更新至版本6.0.5和6.1.4。

原文链接：https://www.bleepingcomputer.com/news/security/oxid-eshop-used-by-mercedes-fixes-remote-takeover-security-bug/

4、洛杉矶警局泄露2500名警员及1.75万申请人的隐衷信息

GA黄金甲·(中国区)官方网站

据本地媒体报路，洛杉矶警局（LAPD）遭逢数据泄露事务，导致2500名警员和约1.75万名警员申请人的幼我信息曝光。泄露的信息蕴含姓名、电子邮件地址、密码以及诞生日期。LAPD已经证实了这一事务，并暗示在确定事务影响的领域以及通知受影响的幼我。市长Eric Garcetti在一份申明中暗示该事务与人事部门不再使用的一个旧数据库有关。

原文链接：https://www.bleepingcomputer.com/news/security/lapd-data-breach-exposes-personal-info-of-roughly-25k-officers/

5、佐治亚州巡逻机构遭勒索软件攻击，邮件系统已瘫痪

GA黄金甲·(中国区)官方网站

凭据本地新闻机构WHNT报路，7月26日佐治亚州巡逻队（GSP）遭到勒索软件攻击，该部门已关关了服务器和网络作为预防措施。GSP是佐治亚州公共安全数的一个部门，一名人员在其推算机上弹出一条奇怪的通知后汇报了这一问题。GSP已确认该事务可能会略微影响其响应功夫，但部门成员仍有其它通讯渠路，例如无线电调度。该部门并未终场运营。截至周一，攻击者并未提出任何赎金要求。

原文链接：https://www.scmagazine.com/home/security-news/ransomware/georgia-state-patrol-agency-infected-with-ransomware/

6、新Android勒索软件FileCoder，重要通过垃圾短信传布

GA黄金甲·(中国区)官方网站

ESET钻研团队发现新Android勒索软件Android/Filecoder.C。该勒索软件在7月12日被初次发现，攻击者通过在Reddit和XDA Developers社区上颁布帖子来分发payload。在习染设备后，Filecoder.C会向用户的联系人列表发送蕴含恶意链接的短信以进行传布。该勒索软件要求的赎金为94至188美元之间。由于该勒索软件在代码中硬编码了加密私钥的值，因而受害者无需支付赎金也可解密数据。

原文链接：https://www.bleepingcomputer.com/news/security/new-android-ransomware-uses-sms-spam-to-infect-its-victims/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

VxWorks建复11个安全缝隙，影响超过20亿台设备；谷歌钻研人员披露iOS中的4个RCE缝隙及其PoC

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

VxWorks建复11个安全缝隙，影响超过20亿台设备；谷歌钻研人员披露iOS中的4个RCE缝隙及其PoC

7*24幼时服务热线

VxWorks建复11个安全缝隙，影响超过20亿台设备；谷歌钻研人员披露iOS中的4个RCE缝隙及其PoC