首页 > 清静研究 > 清静转达 > 清静简讯

《维他命》逐日清静简讯20181115

宣布时间 2018-11-15

1、研究团队披露7种新熔毁和幽灵攻击，Intel、AMD和ARM均受影响

由9名研究职员组成的研究小组披露了7种新的熔毁和幽灵攻击，其中2种是Meltdown攻击的变种，另外5种是Spectre攻击的变种。三大主要处置惩罚器厂商-Intel、AMD和ARM均受影响。该研究小组向Intel、AMD和ARM报告了这些误差，其中Intel和ARM已经认可了他们的研究效果。该团队还体现，由于供应商正在起劲修复这些问题，他们决议暂不披露相关PoC。

原文链接：

https://thehackernews.com/2018/11/meltdown-spectre-vulnerabilities.html

2、Facebook再曝新误差，或可导致用户私人信息泄露

Imperva研究员Ron Masas发明Facebook中的一个新误差，或可导致用户及其朋侪的私人信息泄露。该误差与Facebook搜索功效的效果显示有关，凭证Masas的说法，显示用户搜索效果的页面包括与每一条搜索效果相关联的iFrame元素，而这些iFrame元素的关联URL易受CSRF攻击。攻击者可以使用该误差强迫用户执行恣意搜索盘问，并获得返回的用户信息。Facebook已经修复了该误差。

原文链接：

https://thehackernews.com/2018/11/facebook-vulnerability-hack.html

3、清静厂商宣布2019年网络清静趋势展望报告

Forcepoint宣布2019年网络清静趋势展望报告，报告的主题包括：网络清静中的AI是否已至冬天？大规模的工业物联网中止威胁；生物识别手艺中的垂纶威胁；关于事情场合清静步伐监测的执律例则？商业战与国家支持的工业特工运动；边沿盘算的远景与阻碍；对相助同伴的清静信托评级或将越来越主要。完整报告请参考以下链接。

原文链接：

https://www.forcepoint.com/blog/insights/2019-forcepoint-cybersecurity-predictions-report

4、在线市肆Infowars遭Magecart攻击，约1600名用户疑受影响

荷兰清静研究员Willem de Groot发明在线市肆Infowars熏染了用于窃取用户信用卡信息的恶意剧本Magecart。该恶意剧本在Infowars上保存了约莫24个小时，随后就被Infowars删除，约1600名用户可能受到影响。研究职员称这些Magecart代码隐藏在Google Analytics代码块中，仅在用户结账时激活，每隔1.5秒抓取一次结账表单中的字段内容，并发送至位于立陶宛的远程服务器google-analyitics[.]org。研究职员还称这些恶意代码的气概与RiskIQ和Flashpoint的Magecart攻击报告中提及的7个犯法团伙都不相同。

原文链接：

https://www.zdnet.com/article/card-skimming-malware-removed-from-infowars-online-store/

5、Adobe宣布11月清静更新，修复Flash Player等产品中的3个误差

尊龙凯时·(中国区)人生就是搏!

Adobe宣布2018年11月的月度清静更新，划分修复了Acrobat reader、Flash Player及Photoshop CC中的清静误差。其中Acrobat reader中的误差（CVE-2018-15979）可导致用户的NTLM哈希密码泄露，并且该误差的PoC果真可用。Flash Player中的误差（CVE-2018-15978）和Photoshop CC中的误差（CVE-2018-15980）都是可导致信息泄露的越界读误差。建议用户尽快举行更新。

原文链接：

https://www.bleepingcomputer.com/news/security/adobe-releases-security-update-for-acrobat-vulnerability-with-public-poc/

6、SAP宣布11月清静更新，共修复11个误差

本周二SAP宣布了2018年11月清静更新，修复了多款产品中的11个误差。误差规模包括代码注入、XSS、XXE、SSRF、拒绝服务、缺少XML验证和URL重定向等。其中较严重的误差包括SAP HANA Streaming Analytics的Spring框架库中的远程代码执行误差（CVE-2018-1270和CVE-2018-1275）以及SAP Fiori客户端中的DoS误差（CVE-2018-2488）等。

原文链接：

https://www.securityweek.com/sap-patches-critical-vulnerability-hana-streaming-analytics

声明：本资讯由尊龙凯时维他命清静小组翻译和整理

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

《维他命》逐日清静简讯20181115

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线