GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全简讯

微软颁布微码更新，建复Intel CPU中侧信路缝隙；谷歌颁布Chrome补丁，建复两个被在野利用的0day

颁布功夫 2020-11-12

1.微软颁布微码更新，建复Intel CPU中侧信路缝隙

微软已针对Windows 10 20H2、2004、1909颁布了Intel微代码更新，以建复Intel CPU中的侧信路缝隙Platypus。该缝隙由格拉茨技术大学、CISPA亥姆霍兹信息安全中心和伯明翰大学的组成的钻研团队披露，位于英特尔的运行均匀功率限度（RAPL）界面中。钻研人员批注，攻击者能够使用RAPL接口监督功耗并揣度CPU在执行哪些指令，从而从内存中窃取敏感数据。此表这次更新还建复了矢量寄放器采样活动中缝隙（CVE-2020-8696）和急剧存储前瞻预测器中缝隙（CVE-2020-8698）。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/windows-10-intel-microcode-released-to-fix-new-cpu-security-bugs/

2.谷歌颁布Chrome补丁，建复两个被在野利用的0day

谷歌颁布Chrome版本86.0.4240.198，建复两个被在野利用的0day。这次建复的缝隙别离为V8中不适当的实现缝隙（CVE-2020-16013）和Site Isolation中的开释后使用缝隙（CVE-2020-16017），目前尚不明显这两个缝隙是必要作为缝隙利用链的一部门一路使用还是单独使用。这两个缝隙是从前三周内Google在Chrome中建复的第四和第五个0day，之前还有FreeType字体渲染库中缝隙（CVE-2020-15999）、V8 JavaScript引擎中缝隙（CVE-2020-16009）和UI组件中缝隙（CVE-2020-16010）。

原文链接：

https://www.zdnet.com/article/google-patches-two-more-chrome-zero-days/

3.钻研人员发现GNOME显示治理器存在本地提权缝隙

钻研人员发现GNOME显示治理器（gdm）存在易于利用的本地提权缝隙。GitHub的安全钻研员Kevin Backhouse在用来跟踪系统上可用用户的组件AccountsService中发现了两个缝隙，可导致该组件挂起（CVE-2020-16127）和烧毁用户帐户特权（CVE-2020-16126），可通过向其发送延长的分段谬误信号来使守护法式崩溃。攻击者能够利用该缝隙创建拥有更高权限的帐户，并以治理员权限（root）运行代码。

原文链接：

https://www.bleepingcomputer.com/news/security/ubuntus-gnome-desktop-could-be-tricked-into-giving-root-access/

4.黑客用Facebook链接预览职能绕过黑名单来抓取数据

黑客利用Facebook链接预览职能，并使用Facebook API服务器作为代理以预防被列入黑名单，来从互联网上抓取数据。该技术之所以成功，是由于大无数网站运营商都允许Facebook服务器抓取其站点的数据，由于这些被网络的数据通�；岜挥糜诤戏ㄖ髡�。此表，安全公司DataDome发现黑客组织可利用该职能以每幼时10000个URL的快率检索链接预览。目前Facebook已经改善了Messenger预览API的快率限度。

原文链接：

https://www.zdnet.com/article/facebook-link-preview-feature-used-as-a-proxy-in-website-scraping-scheme/

5.黑客在暗网销售580万条RedDoorz酒店客户的纪录

黑客在暗网销售580万条RedDoorz酒店客户的纪录。RedDoorz是新加坡的酒店治理和预约平台，在整个东南亚占有1000多家酒店。黑客本周起头在暗网销售蕴含580万RedDoorz用户纪录的数据库，其中蕴含用户的电子邮件、bcrypt哈希密码、姓名、性别、幼我资料照片的链接、电话号码、辅助电话号码、诞生日期和职业，但它不蕴含任何财政信息。

原文链接：

https://www.bleepingcomputer.com/news/security/58-million-reddoorz-user-records-for-sale-on-hacking-forum/

6.Zscaler颁布2020年加密攻击态势的分析汇报

Zscaler颁布了2020年加密攻击态势的分析汇报，揭示了基于加密的威胁将增长260％。此表，该钻研还发现COVID-19推动了勒索软件攻击的激增，从3月起头勒索软件对加密流量的攻击增长了5倍，与COVID有关的威胁激增了30000％；垂钓攻击次数高达1.93亿次，重要针对造作业（38.6％）、服务业（13.8％）和医疗保�。ㄕ�10.9％）；黑客在绕过检测方面的技术更为复杂，30％的基于SSL的攻击糊弄了受信赖的云提供商。

原文链接：

https://www.zscaler.com/press/new-research-shows-attackers-turning-encrypted-attacks-during-pandemic

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】