首页 > 清静研究 > 清静转达 > 清静简讯

Adobe清静更新修复Magento中两个主要的代码执行误差；；；；Dell iDRAC保存遍历误差，，，，，，，可完全控制效劳器

宣布时间 2020-07-30

1.Adobe宣布清静更新，，，，，，，修复Magento中两个代码执行误差

Z6·尊龙凯时「中国区」官方网站

Adobe宣布了清静更新，，，，，，，以修复Magento Commerce和Magento Open Source中的两个严重的代码执行误差。。。。。。其中一个是由路径遍历过失引起的，，，，，，，被跟踪为CVE-2020-9689，，，，，，，它允许具有治理员权限的攻击者执行恣意代码。。。。。。另一个是基于DOM的跨站剧本误差，，，，，，，被追踪为CVE-2020-9691，，，，，，，它允许使未经身份验证的攻击者执行恣意代码。。。。。。别的，，，，，，，此次更新还修复了由可视察到的时间差引起的署名验证绕过误差（CVE-2020-9690）。。。。。。现在，，，，，，，针对该误差尚无已知的使用和攻击。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/magento-gets-security-updates-for-severe-code-execution-bugs/

2.Google宣布清静更新，，，，，，，修复Chrome中的8个误差

Z6·尊龙凯时「中国区」官方网站

Google宣布清静更新，，，，，，，修复了Chrome中的8个误差，，，，，，，影响了Windows、Mac和Linux系统下的Chrome版本84.0.4147.105。。。。。。此次更新中修复的较为严重的误差为V8中的类型混淆问题（CVE-2020-6537）、WebView中的实现不当问题（CVE-2020-6538）、SCTP释放后使用问题（CVE-2020-6532）、CSS释放后使用问题（CVE-2020-6539）、Skia中的堆缓冲区溢出误差（CVE-2020-6540）以及WebUSB释放后使用问题（CVE-2020-6541）。。。。。。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/07/28/google-releases-security-updates-chrome

3.Dell iDRAC保存遍历误差，，，，，，，可被黑客使用完全控制效劳器

Z6·尊龙凯时「中国区」官方网站

Positive Technologies研究职员发明Dell远程会见控制器（iDRAC）中保存遍历误差（CVE-2020-5366），，，，，，，可被黑客使用完全控制效劳器。。。。。。通过使用此误差，，，，，，，经由远程身份验证的攻击者可以翻开和关闭产品，，，，，，，或更改其散热和电源设置。。。。。。除此之外，，，，，，，该误差可被使用读取控制器操作系统中的任何文件，，，，，，，并且在某些情形下滋扰控制器的操作。。。。。。该误差会影响固件版本为4.20.20.20之前的Dell EMC iDRAC9控制器，，，，，，，Dell EMC在检测到该误差之后便宣布了清静更新，，，，，，，并鞭策用户尽快装置。。。。。。

原文链接：

https://www.infosecurity-magazine.com/news/dell-emc-patches-idrac/

4.新型Linux后门Doki使用Dogecoin API，，，，，，，针对Docker实例

Z6·尊龙凯时「中国区」官方网站

Intezer Labs发明，，，，，，，新型Linux后门程序Doki使用了Dogecoin API，，，，，，，针对Docker实例。。。。。。黑客组织Ngrok自2018年底以来一直活跃，，，，，，，最初倾向于使用Ngrok效劳托管C＆C效劳器。。。。。。而在该组织最近一次的攻击中，，，，，，，其针对泄露了治理API的Docker实例。。。。。。黑客通过使用Docker API在目的公司的云基础架构中安排新效劳器，，，，，，，随后运行熏染了加密挖矿恶意软件Doki的Alpine Linux效劳器。。。。。。研究职员体现，，，，，，，Doki的目的是允许黑客控制其新安排的Alpine Linux效劳器，，，，，，，以确保加密采矿操作按预期运行。。。。。。

原文链接：

https://www.zdnet.com/article/new-linux-malware-uses-dogecoin-api-to-find-c-c-server-addresses/#ftag=RSSbaffb68

5.卡巴斯基发明勒索软件VHD与朝鲜黑客组织Lazarus有关

Z6·尊龙凯时「中国区」官方网站

卡巴斯基宣布的报告显示，，，，，，，勒索软件VHD与朝鲜黑客组织Lazarus有关。。。。。。研究职员在2020年3月至5月的视察中发明了勒索软件VHD的样本，，，，，，，这些样本使用SMB暴力破解分发MATA恶意软件框架。。。。。。VHD可隐藏地毗连到受害者的电脑驱动器，，，，，，，加密文件，，，，，，，并删除所有的System Volume Information文件夹，，，，，，，从而破损系统中的Windows还原功效。。。。。。并且，，，，，，，它可以禁用避免主要文件被改动的历程，，，，，，，例如Microsoft Exchange或SQL Server。。。。。。�？？？？？ò退够⒚鱉anuscrypt木马也使用了MATA框架，，，，，，，因此判断同样使用了该恶意框架的VHD与Lazarus有关。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/north-korean-hackers-created-vhd-ransomware-for-enterprise-attacks/

6.IBM宣布报告，，，，，，，2020年度平均数据泄露本钱为386万美元

Z6·尊龙凯时「中国区」官方网站

IBM于本周三宣布了年度数据泄露本钱报告，，，，，，，2020年度平均数据泄露本钱为386万美元。。。。。。只管与2019年相比，，，，，，，平均本钱下降了1.5％，，，，，，，但泄露凌驾5000万条纪录的超大型走漏事务的本钱可能高达3.92亿美元，，，，，，，高于2019年的3.88亿美元。。。。。。总体而言，，，，，，，帐户凭证泄露以及云设置过失导致了近40％的数据泄露事务。。。。。。别的，，，，，，，使用第三方误差，，，，，，，例如0day，，，，，，，也是造成数据泄露的主要因素，，，，，，，一家因此类误差导致数据泄露的公司可能需要支付高达450万美元的赔偿。。。。。。可是，，，，，，，若是企业购置了网络包管，，，，，，，则平均可镌汰20万美元的损失。。。。。。

原文链接：

https://www.zdnet.com/article/todays-mega-data-breaches-now-cost-companies-392-million-in-damages-lawsuits/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Z6尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系Z6尊龙凯时

清静研究

Adobe清静更新修复Magento中两个主要的代码执行误差；；；；Dell iDRAC保存遍历误差，，，，，，，可完全控制效劳器

关于Z6尊龙凯时

解决计划

清静研究

联系Z6尊龙凯时

7*24小时效劳热线

软件升级

投资者关系

清静研究

Adobe清静更新修复Magento中两个主要的代码执行误差；；；；Dell iDRAC保存遍历误差，，，，，，，可完全控制效劳器

7*24小时效劳热线

Adobe清静更新修复Magento中两个主要的代码执行误差；；；；Dell iDRAC保存遍历误差，，，，，，，可完全控制效劳器