信息安全三分钟
盘点24小时内最新信息安全事件,旨在帮助安全工作者能够快速、高效抵御安全威胁。
1
黑客把小米扫地机器人变成窃听器
一台被黑客入侵的智能扫地机器人能够监听主人的一言一行?这可不是天方夜谭。黑客已经找到了办法,利用一种名为LidarPhone的技术(下图),把智能扫地机器人中的导航组件——激光雷达(LiDAR),变成激光麦克风。近日,马里兰大学和新加坡国立大学的学者用LidarPhone成功将小米公司热卖的“石头”(Roborock)扫地机器人变成了窃听器。
2
英国宣布成立打击数字敌人的国家网络部队
英国首相鲍里斯·约翰逊11月19日宣布,英国成立“国家网络部队”(NCF)。NCF是一个由攻击性黑客组成的部队,由政府通信总部(GCHQ)和国防部(MoD)控制,结合了两个机构的人员,自4月以来一直秘密运行,目前在彻特纳姆和全国其他军事场所拥有数百名黑客人员,并计划在未来十年内将人员增加至3000人左右。NCF首次将GCHQ、国防部、秘密情报局(MI6)和国防科学技术实验室(Dstl)的人员召集于统一指挥之下。其中,国防部提供作战专长,Dstl提供科学技术能力,GCHQ提供全球情报,秘密情报局(MI6)提供招募和运营特工专长,并提供了秘密行动技术的独特能力。
3
GitHub终于修复了Google Project Zero 报告的高危安全漏洞
谷歌的Project Zero团队致力于寻找公司自身软件以及其他公司开发的软件中的安全漏洞。其方法是私下向供应商报告缺陷,并在公开披露前给他们90天的时间来修复。根据情况的严重程度,这一期限可能会根据该集团的标准准则被延长或拉近。11月初,谷歌公开披露了GitHub中的一个 "高"严重性安全问题,此前后者无法在104天内修复--超过了标准时限。不过,GitHub用户现在会很高兴地知道,这个安全漏洞终于被填补了。
4
思科安全管理器曝出大量严重漏洞
思科安全管理器(Cisco Security Manager)是一个企业级安全管理应用程序,可监控和管理思科的安全和网络设备,包括Cisco ASA自适应安全设备、Cisco IPS系列传感器设备、Cisco集成服务路由器(ISR)、Cisco防火墙服务模块(FWSM)、Cisco Catalyst、Cisco交换机等等。近日,威胁情报和渗透测试公司Code White的安全研究员Florian Hauser在思科安全管理器中共发现了十二个漏洞,其中包括关键路径遍历漏洞、高风险的静态凭证错误和多个严重的Java反序列化漏洞,其中大多数可直接导致远程代码执行(RCE)。据悉,思科修复了安全管理器4.2.2版本中的前两个漏洞。思科同时表示将为4.2.3版本中的Java反序列化漏洞提供修复程序,但当前并没有提供任何解决方法。
5
绕过VPN和防火墙?苹果给自家APP留后门
近日,苹果公司新推出的macOS操作系统版本Big Sur的一项“新功能”引起了安全人士的关注和担忧。该功能允许某些(约50个)Apple应用程序绕过内容过滤器和VPN。安全专家们认为这是一种危险的做法,攻击者可以利用这项新功能来绕过防火墙,访问人们的系统并暴露其敏感数据。
6
国家漏洞库CNNVD:关于Drupal安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Drupal安全漏洞(CNNVD-202011-1698、CVE-2020-13671)情况的报送。成功利用漏洞的远程攻击者可能获取目标系统或网站的管理权限,执行恶意代码。Drupal Core 7、8.8、8.9、9.0各分支版本均受此漏洞影响。目前,Drupal官方已经发布了版本更新修复了该漏洞。建议用户及时确认Drupal Core产品版本,如受影响,请及时采取修补措施。
7
XStream远程代码执行漏洞 (CVE-2020-26217) 预警
11月16日,XStream发布了XStream远程代码执行漏洞的风险通告。漏洞编号:CVE-2020-26217。攻击者向XStream发送精心构造的XML格式数据,绕过XStream的黑名单防御,在目标服务器中执行任意代码。该漏洞是CVE-2013-7285漏洞的变体,漏洞危害较大。建议受影响用户及时升级补丁修复该漏洞,做好资产自查以及预防工作,以免遭受黑客攻击。
为了增强与广大粉丝的联系与互动,信息安全三分钟开设专门粉丝群啦!欢迎专业人士或对信息安全感兴趣的朋友扫描以下二维码添加好友入群,扫码请注明“信息安全”以便审核,期待您的到来!
客服二维码
继续阅读
阅读原文