首页 > 安全钻研 > 安全传递 > 安全简讯

赛灵思SoC存在未建复的肆意代码执行缝隙；加拿大萨斯卡通市遭BEC诳骗损失104万美元

颁布功夫 2019-08-21

1、加拿大萨斯卡通市遭BEC诳骗损失104万美元

据本地新闻报路，加拿大萨斯卡通市成为BEC诳骗的最新受害者。犯罪分子假意艾伦构筑公司（Allan Construction）的首席财政官，向市政财政部门的员工发送电子邮件要求更改银行账户号码并付款。该公司签定了一座桥梁的建复工程合同。财政人员因而在8月7日或8日左右支付了104万美元。8月12日这一圈套被发现，法律机构和金融敌灾试图撤销买卖并收回资金，目前已收回约4万美元。

原文链接：https://www.bleepingcomputer.com/news/security/scammer-tricks-city-into-1-million-wire-transfer/

2、黑客利用虚伪NordVPN网站分发银行木马Bolik

GA黄金甲·(中国区)官方网站

银行木马Bolik背后的攻击者又回来了，这一次他们通过虚伪的NordVPN网站持续分发恶意软件。该盗版网站nord-vpn[.]club险些美满地克隆了官方网站NordVPN.com，并且拥有合法的SSL证书，该证书由盛开式证书宣告机构Let's Encrypt于8月3日宣告，有效期到11月1日。win32.bolik.2木马是bolik.1的改进版本，拥有多组件多态性文件病毒的个性，攻击者可利用该木马执行Web注入、流量截获、键盘纪录以及从分歧的银行客户端窃守信息。

原文链接：https://www.bleepingcomputer.com/news/security/hackers-use-fake-nordvpn-website-to-deliver-banking-trojan/

3、谷歌Nest智能摄像头被曝存在8个安全缝隙

GA黄金甲·(中国区)官方网站

谷歌Nest Cam IQ室内摄像头被曝存在8个安全缝隙，可用于劫持或粉碎设备。这些缝隙是由思科Talos钻研人员Lilith Wyatt和Claudio Bozzato发现的。缝隙领域蕴含DoS（CVE-2019-5043）、信息泄露（CVE-2019-5034和CVE-2019-5040）、肆意代码执行（CVE-2019-5038和CVE-2019-5039）、可导致暴力破解攻击的缝隙（CVE-2019-5035）以及证书加载谬误（CVE-2019-5036和CVE-2019-5037）。谷歌暗示已经建复了这些缝隙，建复补丁将自动推送到设备中。

原文链接：https://www.zdnet.com/article/vulnerabilities-in-google-nest-cam-iq-can-be-used-to-hijack-your-camera/

4、VideoLan颁布VLC播放器更新，建复13个缝隙

GA黄金甲·(中国区)官方网站

VideoLan颁布VLC媒体播放器的新版本3.0.8，建复了13个安全缝隙。缝隙领域蕴含缓冲区溢出、use-after-free、空指针解引用以及除数为0。大部门缝隙都是由VLC开发人员直接发现的。凭据VideoLan的安全布告，远程攻击者可通过诱使用户打开恶意文件来触发崩�；蛟诘锹加没У陌踩叩臀闹兄葱写�。该新版本可用于Windows、Mac和Linux平台，建议用户尽快更新。

原文链接：https://www.bleepingcomputer.com/news/security/vlc-media-player-308-released-with-13-security-fixes/

5、赛灵思SoC存在未建复的肆意代码执行缝隙

GA黄金甲·(中国区)官方网站

F-Secure发现Xilinx（赛灵思）的Zynq UltraScale+SOC存在两个缝隙。该系列的产品蕴含SOC、MPSOC以及RFSOC，通常用于汽车、航空、消费电子、工业以及军事部件中。F-Secure暗示，这些SOC的加密安全疏导模式蕴含两个缝隙，其中一个缝隙无法通过软件更新建复，必要供给商提供“新的Silicon版本”。利用这两个缝隙必要物理接见权限。赛灵思暗示它批改了技术手册，建议客户使用更安全的硬件根信赖（Hwrot）安全疏导模式，而不是只使用较弱的加密模式。

原文链接：https://www.zdnet.com/article/unpatchable-security-flaw-found-in-popular-soc-boards/

6、钻研人员公开颁布iOS 12.4的免费越狱工具

GA黄金甲·(中国区)官方网站

一位匿名的钻研人员以pwn20wnd的别号在Github上免费颁布了iOS 12.4的越狱工具。该工具利用了iOS内核中的一个UAF缝隙（CVE-2019-8605），此缝隙曾在iOS 12.3中被建复，但苹果在iOS 12.4中沉新引入了该缝隙。新的越狱工具可在更新的iOS设备上工作，蕴含iphone xs、xs max和xr或2019 iPad mini和ipad air，不论该设备是运行iOS 12.4还是iOS 12.2或更早版本，但在iOS 12.3上无法工作。

原文链接：https://thehackernews.com/2019/08/ios-iphone-jailbreak.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

赛灵思SoC存在未建复的肆意代码执行缝隙；加拿大萨斯卡通市遭BEC诳骗损失104万美元

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

赛灵思SoC存在未建复的肆意代码执行缝隙；加拿大萨斯卡通市遭BEC诳骗损失104万美元

7*24幼时服务热线

赛灵思SoC存在未建复的肆意代码执行缝隙；加拿大萨斯卡通市遭BEC诳骗损失104万美元