1、WordPress漏洞仍未修复,可获取该网站控制权
RIPS的研究人员透露,他们7个月前向WordPress安全团队报告的一个安全漏洞仍未得到修复,所有版本的WordPress都受到了影响。该漏洞是在PHP函数中发现的,它删除了在WordPress网站上上传图片的缩略图。据了解,攻击者只需要注册一个低级别账户,就可以从浏览器重新配置该网站,并且完全接管整个网站,在服务器上执行任意代码,删除任何重要文件。
2、Windows 10快捷方式被利用执行恶意代码,或被列入OLE黑名单
SpecterOps的安全研究员Matt Nelson发现,在Windows 10中添加的新文件类型“.SettingContent-ms”可能会被利用执行恶意代码。攻击者可以绕过防止Office产生子进程的ASR规则,在没有任何提示的情况下下载并运行该文件。虽然微软并没有将其视为操作系统中的漏洞,但该文件极有可能会被列入OLE文件格式黑名单。
3、英特尔CPU现TLBleed漏洞,或泄露加密数据
研究人员发现,英特尔超线程CPU上存在一个新漏洞“TLBleed”。当攻击者在目标系统上运行恶意软件或登录时,可利用英特尔超线程技术获取另一个线程上的加密内容,成功率高达98%。OpenBSD的人员已经禁用了英特尔CPU上的超线程技术,同时还将于今年的黑帽大会上展示此漏洞。英特尔公司表示其缓存攻击保护足以阻止该漏洞。
4、FastBooking遭攻击,酒店客户信息遭泄露
酒店预订软件提供商FastBooking服务器被黑客入侵,致近千家使用该系统的酒店数据泄露,客户敏感信息失窃。黑客利用FastBooking服务器上另一个应用程序中的漏洞,在服务器中安装了恶意软件,使其得以远程访问服务器并窃取客户数据。FastBooking公司于6月26日向所有受害酒店发出电子邮件通告,遭入侵的酒店可能超过千家。
5、俄罗斯70万电商账户遭入侵,攻击者已落网
俄罗斯热门互联网商店70万账户遭黑客入侵,攻击者在黑客论坛上收集了各种被盗用的账户信息,并使用特殊程序自动猜测用户的账户密码,他们除了销售被盗用的账户,还提供更改在线商店账户电话号码和电子邮件的服务。
6、Exactis防火墙未加密,2.3亿网民信息遭泄露
美国大数据公司Exactis服务器没有设置防火墙加密,致服务器上未加密的数据被暴露。该公司采集了大约2TB、3.4亿条记录,可能涵盖2.3亿人,几乎是全美的上网人口;总计涉及了35亿条商业、消费者和数字信息。目前,Exactis已经对数据进行了加密防护。
7、全美第二大互联网服务供应商现不安全API,客户数据遭泄露
康卡斯特旗下网站Xfinity被发现存在不安全的API,当识别到同一用户IP地址时,该API可以返回用户数据,从而泄露账户信息。康卡斯特已对这个API进行了关闭处理。作为全美第二大互联网服务供应商,康卡斯特拥有超过数千万的用户,仅次于AT&T。目前没有直接证据表明任何用户的账户信息遭到了非法盗窃或者使用。
8、WPA3安全标准发布,个人和企业网络都将从中获益
据相关媒体报道,近日,Wi-Fi联盟宣布推出WPA3安全标准,承诺将进一步提升Wi-Fi安全性。与现行标准相比,WPA3带来了全新升级的身份验证和加密无线网络,可应用于个人、企业和物联网无线网络等领域,将解决所有已知的Wi-Fi安全问题,同时还会缓解类似KRACK和DEAUTH等无线攻击。苹果、思科、英特尔、高通和微软等公司纷纷宣布支持该标准。
閱讀更多 安勝ANSCEN 的文章
