首页 > 安全研究 > 安全通报 > 安全简讯

VMware披露Workspace中的提权0day,尚未发布补丁;Tesla Model X密钥卡存在漏洞可用来快速解锁汽车

发布时间 2020-11-25

1.VMware披露Workspace中的提权0day,尚未发布补丁


1.png


VMware披露了影响其Workspace One多个组件中的提权0day,攻击者可利用该漏洞提权以在Linux和Windows操作系统上执行命令,目前尚未发布相关补丁程序。该漏洞被跟踪为CVE-2020-4006,CVSS等级为9.1,其影响了VMware Workspace ONE Access、访问连接器、身份管理器、身份管理器连接器、VMware云基金会和vRealize Suite生命周期管理器。目前,VMware已发布临时解决办法以消除攻击媒介并防止漏洞的利用。


原文链接:

https://threatpost.com/vmware-zero-day-patch-pending/161523/


2.TikTok修复两个可导致账户接管的XSS和CSRF漏洞


2.png


TikTok修复了两个可导致账户接管的XSS和CSRF漏洞。第一个漏洞为URL参数中的非持久性跨站点脚本(XSS)漏洞,该URL的参数返回了未经适当处理的值,可能导致数据泄露。第二个为API端点的跨站点请求伪造(CSRF)漏洞,攻击者可利用其更改使用第三方应用程序注册的用户的帐户密码。黑客可以结合利用这两个漏洞,通过制作一个简单的JavaScript有效负载,在触发CSRF后将其注入到易受攻击的URL参数中,然后一键接管帐户。


原文链接:

https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/


3.FBI发布警告称黑客伪造与其相关的域名来窃取用户信息


3.jpg


FBI互联网犯罪投诉中心(IC3)发布警告,称黑客伪造与其相关的域名来窃取用户信息。FBI发布此公告,旨在帮助公众识别和避免与FBI相关的欺骗性域名。其发现未经注册的黑客通过欺骗合法的联邦调查局网站注册了许多域,这表明了未来的攻击活动的可能性。攻击者或将使用伪造的域名和电子邮件传播虚假信息,收集有效的用户名、密码和电子邮件地址,收集个人身份信息并传播恶意软件,这可能导致进一步的攻击活动和可能的财务损失。


原文链接:

https://www.bleepingcomputer.com/news/security/fbi-warns-of-recently-registered-domains-spoofing-its-sites/


4.Tesla Model X密钥卡存在漏洞可用来快速解锁汽车


4.jpg


比利时安全研究人员Lennert Wouters发现Tesla Model X密钥卡存在漏洞可用来快速解锁汽车。Wouters称,攻击者可以使用从旧的Model X车辆中回收的电子控制单元(ECU)来利用此漏洞。首先改装回收的ECU来唤醒目标密钥卡,使其相信该ECU属于其配对车辆。然后通过BLE(蓝牙低能耗)协议将恶意固件更新推送到该密钥卡。一旦成功入侵密钥卡,攻击者就会从中提取汽车解锁消息,然后利用这些解锁信息进入目标车辆。目前,该漏洞已被修复。


原文链接:

https://www.zdnet.com/article/tesla-model-x-hacked-and-stolen-in-minutes-using-new-key-fob-hack/


5.欧盟ENISA发布确保物联网供应链安全的指南


5.jpg


欧盟网络安全机构(ENISA)发布了确保物联网供应链安全的指南。该指南提出了与供应链相关的风险分析的结果,这是基于对影响供应链参与者、流程和技术的现代威胁的前沿研究。根据分析结果得出结论,为确保物联网供应链安全应在供应链参与者之间建立更好的关系;不断全面增强系统开发人员和用户的网络安全专业知识;采用设计安全原则;对安全采取全面而明确的方法,明确考虑所有相关威胁并采取相应措施;利用现有的安全标准和良好做法。


原文链接:

https://ics-cert.kaspersky.com/news/2020/11/23/enisa-publishes-guidelines-for-securing-internet-of-things-supply-chain/


6.GBG发布2020年度有关数字身份的态势分析报告


6.jpg


GBG发布2020年度数字身份态势的分析报告,并称2020年有五分之一的消费者受到身份欺诈的影响。该报告发现,由于COVID-19以来身份盗窃事件的增加,企业和消费者之间的信任差距可能会扩大。由于社会隔离的限制,人们越来越依赖数字服务。GBG指出,到2020年,有47%的人开设了新的在线购物帐户,而35%的人开设了新的社交媒体帐户,有31%的人开设了在线银行帐户。此外,有33%的公众认为他们的个人信息目前正在暗网上出售。


原文链接:

https://www.gbgplc.com/the-gbg-state-of-digital-identity-2020/

上一篇 下一篇