GitHub颁布2020年度Octoverse态势的分析汇报；谷歌披露iOS中可通过Wi-Fi收受左近肆意设备的缝隙

首页 > 安全钻研 > 安全传递 > 安全简讯

GitHub颁布2020年度Octoverse态势的分析汇报；谷歌披露iOS中可通过Wi-Fi收受左近肆意设备的缝隙

颁布功夫 2020-12-04

1.GitHub颁布2020年度Octoverse态势的分析汇报

GitHub颁布了2020年度Octoverse态势的分析汇报。该汇报重要统计了超过5600万名开发人员在2020年创建的超过6000万个新存储库。钻研发现，与2019年相比，此刻94％的项目依赖开源组件，均匀有靠近700个依赖项，JavaScript中有94％的开源依赖关系，而Ruby和.NET中有90％的开源依赖关系。此表，开源软件中的大无数缝隙并不是恶意的，相反，GitHub发出的CVE警报中有83％的缝隙是由报答谬误引起的。

原文链接：

https://octoverse.github.com/

2.IBM颁布针对COVID-19疫苗供给链的攻击活动的汇报

IBM X-Force颁布了针对COVID-19疫苗供给链的攻击活动的汇报。在COVID-19起头时，IBM X-Force成立了威胁谍报出格工作组，致力于追踪针对疫苗供给链运行的组织的网络威胁，该团队最近发现了一场针对与COVID-19冷链有关组织的全球垂钓活动。这次攻击活动逾越六个国度，指标可能与全球疫苗免疫同盟(Gavi)的冷链设备优化平台(CCEOP)项目有关，或与国度间谍组织有关。

原文链接：

https://securityintelligence.com/posts/ibm-uncovers-global-phishing-covid-19-vaccine-cold-chain/

3.Xerox颁布补丁，建复DocuShare中的SSRF和XXE缝隙

Xerox颁布补丁，建复企业文档治理平台DocuShare中的SSRF和XXE缝隙。该缝隙被追踪为CVE-2020-27177，可导致Solaris、Linux和Windows DucuShare用户遭到服务器端要求伪造（SSRF）攻击和未经身份验证的表部XML实体注入攻击（XXE）。攻击者成功利用这些缝隙，可获得对指标系统机密数据的接见权限。该公司并未泄漏具体缝隙详情，但提供了建复法式链接，以解决受影响版本中的缝隙。

原文链接：

https://threatpost.com/xerox-docushare-bugs/161791/

4.谷歌披露iOS中可通过Wi-Fi收受左近肆意设备的缝隙

Google Project Zero披露iOS中可通过Wi-Fi收受左近肆意设备的缝隙。该缝隙被跟踪为CVE-2020-3843，是一个双沉开释缝隙，黑客利用该缝隙能够接见照片和其他敏感数据，蕴含电子邮件和个人新闻。攻击者将指标锁定在AirDrop BTLE框架上，通过强造使用存储在设备中的联系人的哈希致反启用AWDL接口，而后触发缓冲区溢出以获得对设备的接见权，并以根用户身份植入恶意代码，实现对设备的齐全节造。尚不明显该缝隙是否被在野利用，但有关厂商已颁布建复法式。

原文链接：

https://securityaffairs.co/wordpress/111788/mobile-2/iphone-devices-hack.html

5.俄APT组织Turla利用新恶意软件Crutch窃取敏感文件

俄罗斯APT组织Turla利用新的恶意软件Crutch窃取敏感文件。该APT组织Turla自2007年以来一向活跃，针对在中东、亚洲、欧洲、北美、南美、和前苏联集团的公司和表交等当局机构。ESET钻研人员发现，Turla利用Crutch在针对欧盟国度的表交部的网络间谍活动中，部署后门法式并窃取敏感文件。此表，Crutch可能利用合法基础设施Dropbox来绕过某些安全层，以入侵正常的网络流量，窃取文档并从黑客组织那里接管号令。

原文链接：

https://www.bleepingcomputer.com/news/security/russian-hacking-group-uses-dropbox-to-store-malware-stolen-data/

6.开曼群岛银行配置谬误的Azure Blob泄露用户幼我数据

开曼群岛离岸银行配置谬误的Azure Blob泄露用户幼我数据。这次事务泄露的备份数据涵盖了5亿美元投资组合，蕴含幼我银行信息、护照数据甚至是网上银行的PIN码。由于Microsoft Azure Blob配置谬误，该公司已删除多年的备份数据非但没有隐没，反而直到最近都能够轻松在线获得。据悉，目前泄露数据已被IT供给商移除。ImmuniWeb的CEO称，大无数地域的司法部门城市将这一事务视为沉大错误，这将导致企业名誉受损，无法与受影响的客户持续合作，最终可能会破产。

原文链接：

https://threatpost.com/cayman-islands-bank-records-exposed-azure-blob/161729/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研