首页 > 清静研究 > 清静转达 > 清静简讯

《维他命》逐日清静简讯20181206

宣布时间 2018-12-06

1、M2M协议被曝保存误差，可用于攻击工业物联网系统

趋势科技研究团队发明主流的两个M2M（机械对机械）协议保存清静误差，可用于攻击IoT和IIoT装备。凭证该《工业物联网数据主干中的懦弱性》报告，这两个协议划分是新闻行列遥测传输协议（MQTT）和约束应用协议（CoAP）。研究职员剖析了这两个协议的设计和实现上保存的误差，并发明了数十万台设置不当的服务器，这些服务器袒露了相关凭证、敏感信息以及工业流程相关的数据。这些误差可能导致DoS、恣意代码执行以及DDoS放大攻击等。

原文链接：

https://blog.trendmicro.com/trendlabs-security-intelligence/machine-to-machine-m2m-technology-design-issues-and-implementation-vulnerabilities/

2、美NRCC官员的电子邮件账户被黑客入侵，数千封邮件或被窃取

据POLITICO报道，美国共和党天下国会委员会(NRCC)遭黑客入侵，数千封包括敏感信息的电子邮件被窃取。2018年4月，NRCC的供应商（MSSP）检测到NRCC系统遭第三方未授权会见，随后FBI对该事务最先举行视察。凭证该党高级官员的说法，4名高级助手的邮箱账户遭到了长达数月的监视，但该官员拒绝透露入侵事务是何时最先的，也没有透露更多相关细节。

原文链接：

https://www.bleepingcomputer.com/news/security/national-republican-congressional-committee-hacked-emails-exposed/

3、澳大利亚联邦银行客户信息或遭泄露，影响人数未明

凭证ABC News报道，2018年7月尾澳大利亚联邦银行在准备将包管部分出售给友邦包管（AIA）集团时，发明了潜在的数据泄露事务。部分客户的医疗信息被提供应银行的其它部分，包括决议是否批准贷款申请的员工。虽然没有证据批注有外部职员会见了客户的医疗信息，但联邦银行仍然通知了澳大利亚的数据�；ゎ肯祷�。现在该银行没有提供关于该事务的更多相关信息，也没有透露受影响客户的详细数目。

原文链接：

https://news.softpedia.com/news/commonwealth-bank-s-customer-medical-info-exposed-following-potential-breach-524106.shtml

4、Adobe修复跨平台Falsh Player 0day，可导致恣意代码执行

Adobe修复跨平台Falsh Player 0day（CVE-2018-15982），该误差可导致恣意代码执行。该误差保存于Windows、macOS和Linux平台上的Flash Player 31.0.0.153及更早的版本之中。据称该误差已被用于针对俄罗斯FSBI "Polyclinic #2"医疗诊所的"毒针运动"中。研究职员以为该APT攻击与政治念头有关。别的，Adobe还修复了一个DLL挟制误差（CVE-2018-15983），该误差可导致提权。建议用户尽快更新至Flash Player最新版本32.0.0.101。

原文链接：

https://news.softpedia.com/news/adobe-patches-flash-player-zero-day-and-privilege-escalation-issue-524132.shtml

5、Kubernetes修复高危提权误差，建议尽快更新

12月3日，redhat官方宣布清静通告，指出Kubernetes（K8s）保存一个严重的提权误差（CVE-2018-1002105），所有基于Kubernetes的服务和产品，包括Redhat OpenShift Container Platform、Red Hat OpenShift Online和Red Hat OpenShift Dedicated都受到了影响。该误差是由Rancher Labs公司的Darren Shepherd发明的，并且使用难度较低，不需要用户交互。Kubernetes在新版本v1.10.11、v1.11.5、v1.12.3和v1.13.0-rc.1中修复了该误差。

原文链接：

https://www.bleepingcomputer.com/news/security/kubernetes-updates-patch-critical-privilege-escalation-bug/

6、Google宣布12月Android清静更新，修复53个误差

Google宣布12月Android清静通告，共修复了53个清静误差，其中6个误差是与媒体框架和系统组件有关的RCE误差。凭证Google的说法，没有任何关于这些误差在野外被使用的报告。Android媒体框架中的4个RCE误差（CVE-2018-9549、CVE-2018-9550、CVE-2018-9551和CVE-2018-9552）影响了Android 7.0到9.0的系统。别的，24个误差与高通公司的组件有关。

原文链接：

https://threatpost.com/google-patches-11-critical-rce-android-vulnerabilities/139612/

声明：本资讯由尊龙凯时维他命清静小组翻译和整理

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

《维他命》逐日清静简讯20181206

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线