GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全简讯

苹果颁布安全更新，建复多个产品中的缝隙；加密钱币买卖所KuCoin遭攻击，1.5亿美元钱币被盗

颁布功夫 2020-09-27

1.苹果颁布安全更新，建复多个产品中的缝隙

苹果颁布安全更新，建复了macOS Catalina、High Sierra和Mojave，以及Windows iCloud中的多个缝隙。这次建复的缝隙别离为I/O组件的越界读取缝隙（CVE-2020-9973），涉及四处置恶意的USD文件，可导致肆意代码执行或DoS攻击；ImageIO中的越界读取缝隙（CVE-2020-9961），可导致肆意代码执行；沙盒中的缝隙（CVE-2020-9968）可允许恶意利用法式接见受限度的文件；WebKit中的缝隙（CVE-2020-9952）可允许跨站点剧本攻击；Mail中缝隙（CVE-2020-9941）可使远程攻击者更改利用法式状态。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/09/25/apple-releases-security-updates

2.Google颁布Chrome 85安全更新，建复多个缝隙

Google颁布Chrome 85安全更新，建复多个缝隙。其中蕴含越界读取缝隙（CVE-2020-15960 ），扩大中的战术执行不及缝隙（CVE-2020-15961）、串行执行的战术不及缝隙（CVE-2020-15962）、扩大中的政策执行不及（CVE-2020-15963）、V8中的越界写缝隙（CVE-2020-15965）、扩大中的政策执行不及（CVE-2020-15966）和媒体中的数据验证不及缝隙（CVE-2020-15964）。

原文链接：

https://www.securityweek.com/chrome-vulnerabilities-expose-users-attacks-malicious-extensions

3.加密钱币买卖所KuCoin遭攻击，1.5亿美元钱币被盗

总部位于新加坡的加密钱币买卖所KuCoin披露其遭到了网络攻击，价值1.5亿美元的钱币被盗。该公司在申明中证实，一黑客入侵了其系统，并盗取了其热钱包中的所有资产，蕴含比特币、erc -20代币以及其他类型的代币。凭据用户追踪被盗资金的Etherium地址，目前估计损失最幼为1.5亿美元。KuCoin暗示，目前已经启动了安全审计，但其尚未返回其他评论要求。

原文链接：

https://www.zdnet.com/article/kucoin-cryptocurrency-exchange-hacked-for-150-million/

4.Twitter称因其服务配置谬误，用户的API密钥可能会泄露

Twitter称因其Developer门户上服务配置谬误，用户的API密钥可能会泄露。developer.twitter.com是开发人员治理Twitter利用法式和附加API密钥的门户，同时也蕴含Twitter账户的接见令牌和密钥。该网站因配置问题会向浏览器发送谬误指令，使其创建和存储API密钥、账户接见令牌和帐户密码的副本。对于使用公共或共享推算机的开发人员来说，他们的API密钥很可能会被泄露。

原文链接：

https://www.zdnet.com/article/twitter-warns-of-possible-api-keys-leak/

5.钻研人员发现可通过浏览器登录绕过TikTok的MFA

钻研人员发现可通过浏览器登录绕过TikTok的MFA。在TikTok推出多成分身份验证（MFA）一个月后，钻研人员发现该安全职能仅针对移动利用法式启用，而其网站则未启用。因而，黑客能够通过其网站登录拥有受害凭证的帐户来绕过MFA。由于网页版的中TikTok用户可用的选项有限，只能上传和颁布视频，因而攻击者也无法通过更改用户密码以齐全劫持帐户。但是安全钻研员Zach Edwards暗示，攻击者能够提议大规�；侔疃�，例如圈套宣传或政治宣传等各类主题。

原文链接：

https://www.zdnet.com/article/you-can-bypass-tiktoks-mfa-by-logging-in-via-a-browser/

6.NIST颁布网络安全实际指南以援手组织从网络攻击中复原

美国国度尺度技术钻研院（NIST）颁布了一份网络安全实际指南，以援手组织从网络攻击中复原。该指南指出，勒索软件攻击是目前影响企业的最具粉碎性的成分之一，固然最梦想的做法是在勒索软件攻击的早期检测出它并颁布预警信号，以将其影响最幼化或齐全阻止它。但仍有好多组织被入侵，并必要指南来援试熹从中复原。NIST的NCCoE创建相识决规划来解决这些网络安全挑战，并针对几个测试用例(勒索软件攻击、恶意软件攻击、用户批改配置文件、治理员批改用户文件、治理员或剧本谬误地批改数据库或数据库模式)进行测试了。

原文链接：

https://www.helpnetsecurity.com/2020/09/24/nist-guide-recover-ransomware/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】