【漏洞补丁】
Adobe发布安全更新,修复多款产品中的26个漏洞
Google为chrome发布安全更新,修复多个漏洞
Intel安全更新修复其服务器主板中的多个提权漏洞
【威胁情报】
新的ReVoLTE攻击可解密4G语音呼叫以窃听对话
【分析报告】
卡巴斯基发布2020年度Q2 DDoS攻击的分析报告
【数据泄露】
安全培训机构SANS遭钓鱼攻击 ,部分员工信息泄露
Adobe发布安全更新,修复多款产品中的26个漏洞
Adobe发布安全更新,总计修复了Adobe Acrobat、Reader和Lightroom的中的总共26个漏洞。其中有11个是较为严重的漏洞,可被利用进行远程代码执行或绕过安全功能,分别为Adobe Acrobat和Reader中的越界写导致的任意代码执行漏洞(CVE-2020-9693和CVE-2020-9694)、 安全功能绕过漏洞(CVE-2020-9696和CVE-2020-9712)、缓冲区错误导致的任意代码执行漏洞(CVE-2020-9698、CVE-2020-9699、CVE-2020-9700、CVE-2020-9701和CVE-2020-9704)和 释放后使用导致的任意代码执行漏洞(CVE-2020-9715和CVE-2020-9722)。
原文链接:
https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-code-execution-bugs-in-acrobat-and-reader/
02
Google为Chrome发布安全更新,修复多个漏洞
Google为Chrome发布了安全更新,修复了多个可被利用以控制受影响系统的漏洞,针对Windows、Mac和Linux版本。其中较为严重的漏洞为释放后使用漏洞(CVE-2020-6542、CVE-2020-6543、CVE-2020-6544和CVE-2020-6545),安装程序执行不当(CVE-2020-6546),媒体中的安全UI错误(CVE-2020-6547),Skia中的堆缓冲区溢出漏洞( CVE-2020-6548),IndexedDB中的释放后使用漏洞(CVE-2020-6550)和WebXR中的释放后使用漏洞(CVE-2020-6551)等。
原文链接:
https://us-cert.cisa.gov/ncas/current-activity/2020/08/11/google-releases-security-updates-chrome
03
Intel安全更新修复其服务器主板中的多个提权漏洞
Intel本周二发布通知,声明其已修复了服务器主板中的多个提权漏洞。此次更新总计修复了20多个漏洞,影响了服务器主板、服务器系统和计算模块,其中的大部漏洞可被利用进行提权,还有一部分可被利用通过本地访问发起DoS攻击。其中最严重的漏洞被追踪为CVE-2020-8708,是一个错误的身份验证问题,可被未经身份验证的攻击者利用,通过相邻访问来提权,该漏洞影响了1.59版之前的服务器主板、服务器系统和计算模块。
原文链接:
https://www.securityweek.com/intel-patches-many-privilege-escalation-vulnerabilities-server-boards
04
新的ReVoLTE攻击可解密4G语音呼叫以窃听对话
德国波鸿的鲁尔大学(Ruhr University)的研究人员发现ReVoLTE攻击可利用LTE语音(VoLTE)协议中的漏洞,破坏4G语音的加密呼叫来窃听对话。研究人员发现,尽管移动运营商确实支持语音呼叫加密,但是许多呼叫都是使用相同的加密密钥。在大多数情况下,基站会重复使用相同的流密码,或者用可预测的算法来生成加密密钥。因此,攻击者可以记录下两个4G用户之间的对话,再与其中一个受害者打电话并记录对话,就可以对通话进行解密。目前,该漏洞已被修复。
原文链接:
https://www.zdnet.com/article/re-vol-te-attack-can-decrypt-4g-lte-calls-to-eavesdrop-on-conversations/
05
卡巴斯基发布2020年度Q2 DDoS攻击的分析报告
俄罗斯网络安全供应商卡巴斯基发布了2020年度Q2 DDoS攻击的分析报告,发现与2019年第二季度相比,2020年的DDoS攻击数量同比增加了217%。卡巴斯基称,2020年度的趋势与往常背道而驰,通常情况下DDoS攻击在年初开始达到顶峰,然后在春末和夏季下降,而今年的第二季度比第一季度攻击数量增加了30%。在4月9日,单日的攻击次数达到顶峰,为近300次,而第一季度峰值只有242次。卡巴斯基DDoS保护团队认为,这种趋势的改变或许与COVID19的爆发有关。
原文链接:
https://www.infosecurity-magazine.com/news/ddos-triple-q2/
06
安全培训机构SANS遭钓鱼攻击,部分员工信息泄露
网络安全培训组织SANS遭到网络钓鱼攻击,导致部分员工信息泄露。该公司在8月6日发现其一名员工因加载了恶意Office 365 Oauth应用程序,导致约28000条SANS成员的个人信息(PII)泄露。此次泄露的数据不包括密码或信用卡等财务信息,但包括电子邮件地址、全名、电话号码、工作名称、公司名称和实际地址。SANS表示,其对此事件正在调查中,并已通知可能会受到影响的人。
原文链接:
https://www.bleepingcomputer.com/news/security/sans-infosec-training-org-suffers-data-breach-after-phishing-attack/
原文始发于微信公众号(维他命安全):Adobe发布安全更新,修复多款产品中的26个漏洞;Intel安全更新修复其服务器主板中的多个提权漏洞