8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全简讯

VMware披露Workspace中的提权0day，，，，，，，，尚未颁布补丁�。。。。。�；；；；；；；Tesla Model X密钥卡存在缝隙可用来急剧解锁汽车

颁布功夫 2020-11-25

1.VMware披露Workspace中的提权0day，，，，，，，，尚未颁布补丁

VMware披露了影响其Workspace One多个组件中的提权0day，，，，，，，，攻击者可利用该缝隙提权以在Linux和Windows操作系统上执行号令，，，，，，，，目前尚未颁布有关补丁法式。。。。。。。该缝隙被跟踪为CVE-2020-4006，，，，，，，，CVSS等级为9.1，，，，，，，，其影响了VMware Workspace ONE Access、接见衔接器、身份治理器、身份治理器衔接器、VMware云基金会和vRealize Suite性命周期治理器。。。。。。。目前，，，，，，，，VMware已颁布一时解决法子以解除攻击媒介并预防缝隙的利用。。。。。。。

原文链接：

https://threatpost.com/vmware-zero-day-patch-pending/161523/

2.TikTok建复两个可导致账户收受的XSS和CSRF缝隙

TikTok建复了两个可导致账户收受的XSS和CSRF缝隙。。。。。。。第一个缝隙为URL参数中的非悠久性跨站点剧本（XSS）缝隙，，，，，，，，该URL的参数返回了未经适当处置的值，，，，，，，，可能导致数据泄露。。。。。。。第二个为API端点的跨站点要求伪造（CSRF）缝隙，，，，，，，，攻击者可利用其更改使用第三方利用法式注册的用户的帐户密码。。。。。。。黑客能够结合利用这两个缝隙，，，，，，，，通过造作一个单一的JavaScript有效负载，，，，，，，，在触发CSRF后将其注入到易受攻击的URL参数中，，，，，，，，而后一键收受帐户。。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/

3.FBI颁布忠告称黑客伪造与其有关的域名来窃取用户信息

FBI互联网犯罪投诉中心（IC3）颁布忠告，，，，，，，，称黑客伪造与其有关的域名来窃取用户信息。。。。。。。FBI颁布此布告，，，，，，，，旨在援手公家鉴别和预防与FBI有关的糊弄性域名。。。。。。。其发现未经注册的黑客通过糊弄合法的联国调查局网站注册了很多域，，，，，，，，这讲了然将来的攻击活动的可能性。。。。。。。攻击者或将使用伪造的域名和电子邮件传布虚伪信息，，，，，，，，网络有效的用户名、密码和电子邮件地址，，，，，，，，网络幼我身份信息并传布恶意软件，，，，，，，，这可能导致进一步的攻击活动和可能的财政损失。。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/fbi-warns-of-recently-registered-domains-spoofing-its-sites/

4.Tesla Model X密钥卡存在缝隙可用来急剧解锁汽车

比利时安全钻研人员Lennert Wouters发现Tesla Model X密钥卡存在缝隙可用来急剧解锁汽车。。。。。。。Wouters称，，，，，，，，攻击者能够使用从旧的Model X车辆中回收的电子节造单元（ECU）来利用此缝隙。。。。。。。首先改装回收的ECU来唤能干标密钥卡，，，，，，，，使其相信该ECU属于其配对车辆。。。。。。。而后通过BLE（蓝牙低能耗）和谈将恶意固件更新推送到该密钥卡。。。。。。。一旦成功入侵密钥卡，，，，，，，，攻击者就会从中提取汽车解锁新闻，，，，，，，，而后利用这些解锁信息进入指标车辆。。。。。。。目前，，，，，，，，该缝隙已被建复。。。。。。。

原文链接：

https://www.zdnet.com/article/tesla-model-x-hacked-and-stolen-in-minutes-using-new-key-fob-hack/

5.欧盟ENISA颁布确保物联网供给链安全的指南

欧盟网络安全机构（ENISA)颁布了确保物联网供给链安全的指南。。。。。。。该指南提出了与供给链有关的风险分析的了局，，，，，，，，这是基于对影响供给链参加者、流程和技术的现代威胁的前沿钻延祝。。。。。。凭据分析了局得出结论，，，，，，，，为确保物联网供给链安全应在供给链参加者之间成立更好的关系；；；；；；；不休全面加强系统开发人员和用户的网络安全专业知识；；；；；；；选取设计安全准则；；；；；；；对安全采取全面而明确的步骤，，，，，，，，明确思考所有有关威胁并采取相应措施；；；；；；；利用现有的安全尺度和优良做法。。。。。。。

原文链接：

https://ics-cert.kaspersky.com/news/2020/11/23/enisa-publishes-guidelines-for-securing-internet-of-things-supply-chain/

6.GBG颁布2020年杜仔关数字身份的态势分析汇报

GBG颁布2020年度数字身份态势的分析汇报，，，，，，，，并称2020年有五分之一的消费者受到身份诓骗的影响。。。。。。。该汇报发现，，，，，，，，由于COVID-19以来身份偷窃事务的增长，，，，，，，，企业和消费者之间的信赖差距可能会扩大。。。。。。。由于社会隔离的限度，，，，，，，，人们越来越依赖数字服务。。。。。。。GBG指出，，，，，，，，到2020年，，，，，，，，有47％的人开设了新的在线购物帐户，，，，，，，，而35％的人开设了新的社交媒体帐户，，，，，，，，有31％的人开设了在线银行帐户。。。。。。。此表，，，，，，，，有33％的公家以为他们的幼我信息目前在暗网上销售。。。。。。。

原文链接：

https://www.gbgplc.com/the-gbg-state-of-digital-identity-2020/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】