首页 > 安全钻研 > 安全传递 > 安全简讯

Chrome、Edge和Safari均在天府杯中被攻破；路易斯安那州当局遭勒索软件攻击

颁布功夫 2019-11-19

1、微软颁布11月Office安全更新，建复多个缝隙

微软在11月Office安全更新中为7个分歧的产品颁布了17个安全更新和5个累计更新，其中15个与未授权的信息接见有关。微软在17个Office安全更新中建复了6个信息泄露缝隙，蕴含CVE-2019-1442、CVE-2019-1443、CVE-2019-1446、CVE-2019-1448、CVE-2019-1402和CVE-2019-1409，受影响的产品蕴含Office 2010到Office 2016、Excel 2010到Excel 2016、SharePoint Server 2010到SharePoint Server 2019。另表两个缝隙还蕴含SharePoint Server 2019说话包和Office Online服务器中的安全绕过缝隙（CVE-2019-1449和CVE-2019-1457）。齐全缝隙列表请参考以下链接。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-the-november-2019-security-updates-for-office/

2、谷歌建复Gmail动态电子邮件职能中的XSS缝隙

GA黄金甲·(中国区)官方网站

谷歌建复Gmail动态电子邮件职能中的XSS缝隙，凭据钻研人员的表述，该缝隙是DOM Clobbering攻击的一个典型例子。该缝隙存在于AMP4Email（也称为动态电子邮件）职能中，AMP4Email拥有一个过滤XSS的验证系统，但钻研人员发现标签中id的属性是被允许的。在AMP4Email中，id属性的某些值受到限度，但是，在AMP_MODE中若是该函数尝试加载JS文件，则谬误会导致404，从而在了局URL中导致“未界说”的部门。攻击者可通过将payload写入window.testLocation来节造URL。但在现实情况中AMP的内容安全战术（CSP）职能将会阻止代码得到执行。

原文链接：

https://www.zdnet.com/article/google-patches-awesome-xss-vulnerability-in-gmail/

3、印度美妆平台Nykaa API缝隙露出近100万用户数据

印度美妆零售平台Nykaa Fashion已建复一个可导致近100万客户信息泄露的缝隙。这是一个API缝隙，攻击者（例如黑客或电话推销员）可利用自动化剧本获取用户数据，蕴含订单具体信息、邮件标识、姓名、电话号码和电子邮件地址。Nykaa首席技术官Sanjay Suri在一份申明中暗示，该公司已经解决了该问题并且没有幼我或财政数据泄露。

原文链接：

https://economictimes.indiatimes.com/small-biz/startups/newsbuzz/nykaa-fixes-a-data-security-bug/articleshow/72101784.cms

4、Chrome、Edge和Safari均在天府杯中被攻破

GA黄金甲·(中国区)官方网站

在11月16日至17日成都进行的天府杯上，Edge、Chrome、Safari均被参赛者攻破，其它被攻破的产品还蕴含Office 365、iOS、幼米、Vivo、VirtualBox、友讯科技的路由器、Adobe PDF 和 VMWare Workstation等。这次大赛上共有23支行列参赛，赛造类似于Pwn2Own，共设置了100万美元奖金池。在这次为期两天的角逐中，共有20次攻击尝试得到成功，参赛者一共赢得了54.5万美元的奖金。

原文链接：
https://www.zdnet.com/article/chrome-edge-safari-hacked-at-elite-chinese-hacking-contest/

5、新垂钓活动重要针对Microsoft Office治理员

GA黄金甲·(中国区)官方网站

PhishLabs发现一个针对Microsoft Office 365治理员的网络垂钓活动。该活动始于垂钓邮件，邮件假装成来自Microsoft，并在顶部显示Office 365的logo，但它来自不属于Microsoft的经过验证的域。若是收件人点击了邮件中的链接，则会被沉定向到虚伪的Office 365登录页面。攻击者专门针对治理员的痛处，通过入侵治理怨厮户，他们能够潜在地节造与给定域关联的其他电子邮件帐户，还能够利用治理怨厥户的权限来创建其他帐户，进行更多恶意攻击。

原文链接：
https://www.tripwire.com/state-of-security/security-data-protection/phishers-targeting-microsoft-office-365-admin-credentials/

6、路易斯安那州当局遭勒索软件攻击导致停摆

GA黄金甲·(中国区)官方网站

11月18日路易斯安那州当局遭到勒索软件攻击，蕴含车辆治理办公室、卫生部、运输与发展部在内的多个州部门已停摆。该攻击是在11点汇报的，此前该州已强造关关了由该州运营的多多网站及电子邮件服务。据本地媒体报路，该州的多个服务机构都受到滋扰，蕴含79个机动车办公室。州长John Bel Edwards暗示他已激生路易斯安那州的网络安全团队来协调这次攻击造成的粉碎。目前尚不明显该攻击事务中勒索软件的类型。

原文链接：

https://www.bleepingcomputer.com/news/security/louisiana-government-suffers-outage-due-to-ransomware-attack/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Chrome、Edge和Safari均在天府杯中被攻破；路易斯安那州当局遭勒索软件攻击

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

Chrome、Edge和Safari均在天府杯中被攻破；路易斯安那州当局遭勒索软件攻击

7*24幼时服务热线

Chrome、Edge和Safari均在天府杯中被攻破；路易斯安那州当局遭勒索软件攻击