首页 > 安全钻研 > 安全传递 > 安全简讯

Oracle颁布1月沉要补丁更新，建复334个缝隙；Intel建复机能分析工具VTune Profiler中的提权缝隙

颁布功夫 2020-01-16

1.Oracle颁布1月沉要补丁更新，建复334个缝隙

GA黄金甲·(中国区)官方网站

Oracle在2020年1月的季度沉要补丁更新（CPU）中建复了其所有产品系列的334个缝隙，其中有43个缝隙被标为严沉级别，其CVSS评分为9.1或更高。本次CPU中建复的缝隙数量与2019年7月的汗青最高纪录维持一致，超过了2017年7月的308个缝隙的纪录。这些更新涵盖了Oracle部署最宽泛的产品建复补丁，蕴含Oracle数据库服务器（共12个补丁，其中3个无需身份验证即可远程利用）；Oracle通讯利用法式（25个补丁，其中23个无需身份验证即可远程利用，6个为严沉级别）；Oracle企业治理器（50个补丁，其中10个无需身份验证即可远程利用，4个为严沉级别）；Oracle融合中央件（38个补丁，其中30个无需身份验证即可远程利用，3个严沉级别）；合用于Oracle MySQL的19个新安全补�。�6个无需身份验证即可远程利用）；以及Oracle E-Business Suite（23个补丁，其中21个无需身份验证即可远程利用，2个为严沉级别）等。

原文链接：

https://threatpost.com/oracle-cpu-all-time-patch-high-january/151861/

2.InfiniteWP和WP Time Capsule插件缝隙，32万个网站受影响

GA黄金甲·(中国区)官方网站

WordPress插件InfiniteWP和WP Time Capsule中的严沉缝隙使得32万个网站易受攻击。这两个插件用于援手用户治理一台服务器上的多个WordPress网站，并在颁布更新时为文件和数据库条款创建备份。WebArx安全钻研人员发现它们的代码中存在逻辑谬误，使得攻击者能够绕过密码来登录治理怨厮户。凭据WordPress插件库，InfiniteWP被装置在30多万个网站上；而WP Time Capsule的装置量至少为2万。钻研人员发此刻低于版本1.9.4.5的InfiniteWP中，攻击者能够使用带有JSON和Base64编码的payload的POST要求来绕过密码，通过仅知路治理员用户名来登录。而在低于1.21.16的WP Time Capsule版本中，攻击者可通过在原始POST要求中增长恶意字符串来挪用函数捕获可用的治理怨厮户列表并以第一个治理员身份登录。目前这两个插件都已颁布更新建复了该问题。

原文链接：

https://www.zdnet.com/article/critical-bugs-in-wordpress-plugins-infinitewp-wp-time-capsule-expose-300000-websites-to-attack/

3.Adobe颁布1月安全更新，建复多款产品中的9个缝隙

GA黄金甲·(中国区)官方网站

Adobe颁布1月安全更新，建复Adobe Experience Manager和Adobe Illustrator CC中的9个安全缝隙。这是Adobe在2020年颁布的首个安全更新，令人意表的是本次更新并未蕴含任何针对Flash Manager的补丁。这次更新建复了Adobe Experience Manager中的4个信息泄露缝隙，但只有3个被归类为“沉要”，另一个被归类为“中等”。这次更新还建复了Adobe Illustrator中的5个“严沉”的远程执行代码缝隙（CVE-2020-3710~CVE-2020-3714）。建议所有效户尽快装置合用的更新。

原文链接：

https://www.bleepingcomputer.com/news/security/adobe-releases-their-january-2020-security-updates/

4.Intel建复机能分析工具VTune Profiler中的提权缝隙

GA黄金甲·(中国区)官方网站

Intel建复了其机能分析工具VTune Profiler中的提权缝隙（CVE-2019-14613），该缝隙被归类为严沉级别，可允许经过身份验证的本地攻击者潜在地提升特权。只管VTune Profiler支持Windows、Linux和Android平台，但Intel暗示只有Windows版本受到影响，并且该缝隙源于VTune Amplifier驱动法式中的不当接见节造。除此之表，Intel还在1月补丁更新中建复了5个缝隙，但这些缝隙的严沉性均为“钟妆或“低”。

原文链接：

https://threatpost.com/intel-fixes-high-severity-flaw-in-performance-analysis-tool/151837/

5.澳大利亚P＆N银行遭到网络攻击，客户账户信息泄露

GA黄金甲·(中国区)官方网站

澳大利亚P＆N银行暗示它们在服务器升级期间遭到网络攻击，导致客户的PII和账户信息泄露。P＆N银行是Police＆Nurses Limited的一个部门，在西澳大利亚州运营，其颁布的通知称通过其客户关系治理（CRM）平台产生了信息泄露事务。该银行暗示在去年12月12日前后进行了服务器升级，但在此期间遭到网络攻击，据称为该银行提供托管服务的公司是攻击入口点�？赡苄孤兜男畔⒃毯突У男彰⒌刂贰⒌缱佑始刂贰⒌缁昂怕搿⒖突П嗪拧⒋呵铩⒄屎藕驼驶в喽钜约翱赡茉毯诨ザ吐贾械男畔�，但不蕴含密码、社会安全号码、税务文件、驾照或信誉卡信息。目前尚不明显有几多客户受到影响。

原文链接：

https://www.zdnet.com/article/p-n-bank-discloses-data-breach-customer-pii-account-information-stolen/

6.英国征询公司CHS Consulting意表泄露数千员工信息

GA黄金甲·(中国区)官方网站

vpnMentor发现一个配置谬误的AWS S3存储桶泄露了数千英国商务人员的幼我具体信息。该存储桶属于英国征询公司CHS Consulting，并且未经身份验证即可公开接见。但由于该公司没有网站，钻研人员尚未能与该公司进行确认。泄露的数据库中蕴含多家英国征询公司（蕴含Eximius Consultants、Dynamic Partners和IQ Consulting）的人力资源部门文件，只管有些纪录能够追忆到2011年，但大无数数据来自2014-15年。纪录中蕴含护照扫描件、税务文件、犯罪信息纪录和布景调查、与HMRC有关的文书工作、电子邮件和个人新闻以及一系列幼我鉴别信息，蕴含姓名、电子邮件和家庭住址、诞生日期和电话号码等。

原文链接：

https://www.infosecurity-magazine.com/news/uk-consultancies-leak-data/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Oracle颁布1月沉要补丁更新，建复334个缝隙；Intel建复机能分析工具VTune Profiler中的提权缝隙

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

Oracle颁布1月沉要补丁更新，建复334个缝隙；Intel建复机能分析工具VTune Profiler中的提权缝隙

7*24幼时服务热线

Oracle颁布1月沉要补丁更新，建复334个缝隙；Intel建复机能分析工具VTune Profiler中的提权缝隙