首页 > 清静研究 > 清静转达 > 清静简讯

《维他命》逐日清静简讯20181115

宣布时间 2018-11-15

1、研究团队披露7种新熔毁和幽灵攻击，，，Intel、AMD和ARM均受影响

由9名研究职员组成的研究小组披露了7种新的熔毁和幽灵攻击，，，其中2种是Meltdown攻击的变种，，，另外5种是Spectre攻击的变种。。。。。。三大主要处置惩罚器厂商-Intel、AMD和ARM均受影响。。。。。。该研究小组向Intel、AMD和ARM报告了这些误差，，，其中Intel和ARM已经认可了他们的研究效果。。。。。。该团队还体现，，，由于供应商正在起劲修复这些问题，，，他们决议暂不披露相关PoC。。。。。。

原文链接：

https://thehackernews.com/2018/11/meltdown-spectre-vulnerabilities.html

2、Facebook再曝新误差，，，或可导致用户私人信息泄露

Imperva研究员Ron Masas发明Facebook中的一个新误差，，，或可导致用户及其朋侪的私人信息泄露。。。。。。该误差与Facebook搜索功效的效果显示有关，，，凭证Masas的说法，，，显示用户搜索效果的页面包括与每一条搜索效果相关联的iFrame元素，，，而这些iFrame元素的关联URL易受CSRF攻击。。。。。。攻击者可以使用该误差强迫用户执行恣意搜索盘问，，，并获得返回的用户信息。。。。。。Facebook已经修复了该误差。。。。。。

原文链接：

https://thehackernews.com/2018/11/facebook-vulnerability-hack.html

3、清静厂商宣布2019年网络清静趋势展望报告

Forcepoint宣布2019年网络清静趋势展望报告，，，报告的主题包括：网络清静中的AI是否已至冬天？？？？？？大规模的工业物联网中止威胁；；；生物识别手艺中的垂纶威胁；；；关于事情场合清静步伐监测的执律例则？？？？？？商业战与国家支持的工业特工活动；；；边沿盘算的远景与阻碍；；；对相助同伴的清静信任评级或将越来越主要。。。。。。完整报告请参考以下链接。。。。。。

原文链接：

https://www.forcepoint.com/blog/insights/2019-forcepoint-cybersecurity-predictions-report

4、在线市肆Infowars遭Magecart攻击，，，约1600名用户疑受影响

荷兰清静研究员Willem de Groot发明在线市肆Infowars熏染了用于窃取用户信用卡信息的恶意剧本Magecart。。。。。。该恶意剧本在Infowars上保存了约莫24个小时，，，随后就被Infowars删除，，，约1600名用户可能受到影响。。。。。。研究职员称这些Magecart代码隐藏在Google Analytics代码块中，，，仅在用户结账时激活，，，每隔1.5秒抓取一次结账表单中的字段内容，，，并发送至位于立陶宛的远程效劳器google-analyitics[.]org。。。。。。研究职员还称这些恶意代码的气概与RiskIQ和Flashpoint的Magecart攻击报告中提及的7个犯法团伙都不相同。。。。。。

原文链接：

https://www.zdnet.com/article/card-skimming-malware-removed-from-infowars-online-store/

5、Adobe宣布11月清静更新，，，修复Flash Player等产品中的3个误差

南宫NG娱乐(中国)官方网站

Adobe宣布2018年11月的月度清静更新，，，划分修复了Acrobat reader、Flash Player及Photoshop CC中的清静误差。。。。。。其中Acrobat reader中的误差（CVE-2018-15979）可导致用户的NTLM哈希密码泄露，，，并且该误差的PoC果真可用。。。。。。Flash Player中的误差（CVE-2018-15978）和Photoshop CC中的误差（CVE-2018-15980）都是可导致信息泄露的越界读误差。。。。。。建议用户尽快举行更新。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/adobe-releases-security-update-for-acrobat-vulnerability-with-public-poc/

6、SAP宣布11月清静更新，，，共修复11个误差

本周二SAP宣布了2018年11月清静更新，，，修复了多款产品中的11个误差。。。。。。误差规模包括代码注入、XSS、XXE、SSRF、拒绝效劳、缺少XML验证和URL重定向等。。。。。。其中较严重的误差包括SAP HANA Streaming Analytics的Spring框架库中的远程代码执行误差（CVE-2018-1270和CVE-2018-1275）以及SAP Fiori客户端中的DoS误差（CVE-2018-2488）等。。。。。。

原文链接：

https://www.securityweek.com/sap-patches-critical-vulnerability-hana-streaming-analytics

声明：本资讯由南宫NG娱乐维他命清静小组翻译和整理

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

南宫NG娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系南宫NG娱乐

清静研究

《维他命》逐日清静简讯20181115

关于南宫NG娱乐

解决计划

联系南宫NG娱乐

7*24小时效劳热线