1.研究者在PDF樣本中意外發現兩個0-day漏洞
安全廠商ESET的研究人員在分析某個PDF惡意樣本時,發現兩個隱藏的漏洞,攻擊者可以首先利用堆噴射技術,觸發Adobe CVE-2018-4990漏洞獲取內存訪問權限,再利用Windows Win32k組件的CVE-2018-8120提權漏洞獲得系統級訪問權限。樣本中沒有最終的有效載荷,意味著該漏洞利用仍處於早期階段。
2.Red Hat DHCP代碼執行漏洞, Linux Server6至7版本受影響
近日,Google安全研究人員在Red Hat Linux及其衍生工具(如Fedora操作系統)的DHCP客戶端(dhclient)軟件包中發現了一個嚴重的遠程命令注入漏洞CVE-2018-1111,可能允許攻擊者在目標系統上以root權限執行任意命令。
3.ZipperDown漏洞影響10%的IOS應用程序,包括微博、網易音樂
近期,ZipperDown漏洞被研究人員發現,10%的IOS應用程序受到影響, 易受攻擊的應用程序列表還包括幾個擁有超過1億用戶的高端IOS應用程序,如微博、MOMO、網易音樂、QQ音樂等。研究人員稱ZipperDown漏洞是“一種常見的編程錯誤”,POC視頻已公開。
4.西門子SIMATIC-S7-400現嚴重漏洞!
西門子2018年5月15日發佈安全公告通知客戶,其部分SIMATIC S7-400 CPU受嚴重的拒絕服務(DoS)漏洞影響,該漏洞編號為CVE-2018-4850,CVSS(V3.0)評分7.5分。漏洞原因在於受影響的CPU未正確驗證S7通信數據包,從而允許遠程攻擊者觸發攻擊條件,可致系統進入並保持DEFECT模式,必須手動重啟才能恢復。
5.Facebook再曝300萬用戶數據洩露,與性格測試類app密切相關
據New Scientist報道,劍橋大學的研究人員們,已經向一個分享門戶上傳了300萬Facebook用戶的數據。儘管數據被用戶名和密碼鎖定,但學生們後來還是在網絡上曝出了登錄憑證。在政治諮詢公司“劍橋分析”的數據收集醜聞曝光之後,Facebook無疑面臨著越來越大的輿論,因為研究人員Aleksandr Kogan分享了他通過一款性格測試(personality quiz)應用收集到的信息。
6.黑客公佈Signal通訊軟件中的代碼注入攻擊
Signal已經修補了Windows和Linux程序,來自阿根廷的白帽黑客團隊發現了其中的代碼注入漏洞。遠程攻擊者可能利用此漏洞,通過對收件人運行的Signal桌面應用程序注入惡意payload,攻擊者只需要它們發送特製鏈接,不需要任何用戶交互。
7.美電話追蹤公司Securus遭黑客攻擊:至少2800個登錄名和密碼洩露
據外媒cnet報道,美參議員Ron Wyden曾曝光了Securus公司為警方提供實時追蹤電話的能力。現在,最新消息稱,這家公司遭到了黑客攻擊,黑客至少拿到了包含有2800個登錄名和加密密碼的電子表格,其中一些密碼已經被破解。
8.思科修復DNA Center3個高危漏洞,1.1.3以下版本均受影響
閱讀更多 安勝ANSCEN 的文章
