首页 > 安全钻研 > 安全传递 > 安全简讯

Autodesk、趋向科技及卡巴斯基曝DLL劫持缝隙；微软OAuth验证过程存在缝隙，可导致Azure帐户被收受

颁布功夫 2019-12-04

1.Autodesk、趋向科技及卡巴斯基曝DLL劫持缝隙

GA黄金甲·(中国区)官方网站

SafeBreach Labs钻研人员披露Autodesk、趋向科技和卡巴斯基软件中的DLL劫持缝隙。趋向科技安全软件16.0.1221及以下版本受到CVE-2019-15628影响，该缝隙存在于coreServiceShell.exe组件中。由于未对加载的DLL署名进行验证，因而攻击者可加载和执行肆意DLL，导致白名单绕过、获得悠久性、逃避检测以及潜在的特权升级等。Kaspersky Secure Connection和Autodesk桌面利用也别离受到类似的缝隙CVE-2019-15689和CVE-2019-7365的影响。

原文链接：

https://www.zdnet.com/article/researchers-disclose-bugs-in-autodesk-trend-micro-kaspersky-software/

2.微软OAuth验证过程存在缝隙，可导致Azure帐户被收受

GA黄金甲·(中国区)官方网站

CyberArk安全钻研员Omer Tsarfati发现微软的利用法式使用OAuth进行第三方身份验证的方式中存在安全缝隙，可能使攻击者收受用户的Azure云帐户。OAuth是一种身份验证和谈，允许利用法式与第三方网站或软件共享受户账户数据。在微软的OAuth授权流程中，第三方将是经过微软核准的白名单URL。钻研人员发现这些被信赖的白名单URL中蕴含一些未在Azure门户中注册的URL，例如.cloudapp.net、.azurewebsites.net和.{vm_region}.cloudapp.azure.com。钻研人员发现至少有54个类似的子域未在未在Azure门户中注册，攻击者能够通过注册这些域来接见微软用户的数据。微软在11月19日建复了该问题。

原文链接：

https://threatpost.com/microsoft-oauth-flaw-azure-takeover/150737/

3.谷歌颁布12月Android安全更新，建复多个缝隙

GA黄金甲·(中国区)官方网站

谷歌的12月Android安全更新由2019-12-01和2019-12-05两个安全补丁法式级别组成，其中2019-12-01补丁包中建复了15个缝隙。最严沉的缝隙是Framework组件中的DoS缝隙CVE-2019-2232，该缝隙影响了Android版本8.0、8.1、9和10，远程攻击者可通过发送恶意新闻导致永远回绝服务。其它严沉的缝隙还蕴含Media框架中的关键缝隙CVE-2019-2222和CVE-2019-2223，远程攻击者可利用该缝隙在特权过程的高低文中执行代码。本次安全更新中高通关源组件建复了22个缝隙，受影响的组件蕴含多模式呼叫处置器、宽带码分多址和调造解调器等。

原文链接：

https://source.android.com/security/bulletin/2019-12-01

4.美国枪支造作商Smith＆Wesson遭MageCart攻击

GA黄金甲·(中国区)官方网站

美国枪支造作商Smith＆Wesson的在线商店遭到Magecart攻击，客户支付信息可能被窃。凭据Sanguine Security的钻研人员Willem de Groot的说法，Smith＆Wesson的网站在玄色星期五之前已经被入侵，并且只针对美国IP地址的客户。通常客户在接见该网站时只会下载一个11KB的正常JavaScript剧本，但美国IP的客户在接见时则会下载一个20KB的恶意剧本，并显示伪造的支付页面。该公司尚未对此事务进行回应。

原文链接：

https://www.bleepingcomputer.com/news/security/smith-and-wesson-web-site-hacked-to-steal-customer-payment-info/

5.澳大利亚Monash IVF员工邮箱被黑客入侵

GA黄金甲·(中国区)官方网站

澳大利亚最大的试管婴儿服务商Monash IVF忠告患者其多名员工的电子邮箱遭到垂钓攻击，客户的幼我信息可能被泄露。该公司的首席执行官Michael Knaap于11月6日确认，黑客接见了多名员工的电子邮件、邮箱地址和通讯录，其中一些邮件中可能蕴含患者的幼我信息，例如姓名和联系方式、配偶信息、诞生日期、国籍、职业、财政数据、医疗保险信息、监控信息、驾照或护照ID及病历等。该公司已经通知了澳大利亚信息专员办公室和澳大利亚网络安全中心（ACSC），并对此事务发展调查。

原文链接：

https://www.smh.com.au/national/fears-over-patient-data-breach-after-cyber-attack-on-monash-ivf-20191203-p53gj0.html

6.Tuft＆Needle意表泄露23.6万个客户快递标签

GA黄金甲·(中国区)官方网站

床上用品公司Tuft＆Needle意表将236400个客户的快递标签遗留在可公开接见的AWS存储桶中，使得任何人都可接见客户的姓名、地址和电话号码等信息。这些标签是在该公司于2014年至2017年之间创建的。总部位于英国的安全厂商Fidus Information Security发现了露出的数据并进行了验证。Tuft＆Needle在接到汇报后迅快关关了该存储桶的接见权限。

原文链接：

https://techcrunch.com/2019/12/02/tuft-and-needle-exposed-shipping-labels/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Autodesk、趋向科技及卡巴斯基曝DLL劫持缝隙；微软OAuth验证过程存在缝隙，可导致Azure帐户被收受

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

Autodesk、趋向科技及卡巴斯基曝DLL劫持缝隙；微软OAuth验证过程存在缝隙 ，可导致Azure帐户被收受

7*24幼时服务热线

Autodesk、趋向科技及卡巴斯基曝DLL劫持缝隙；微软OAuth验证过程存在缝隙，可导致Azure帐户被收受