全球网络空间安全速览[第10期]

来源:公众号“汽车信息安全”
2020-06-15
1412


安全大视野,消息全知道责编杨泽辉 / 龚桓毅
ERUDITE KNOWLEDGE


本田因网络攻击事件暂停部分生产工作

       据外媒报道,本田正在应对全球计算机网络中断的问题,该问题导致本田中断了其部分北美生产工作。而在6月8日,本田美国公司表示,这次网络中断有可能是一次蓄意攻击的一部分。


全球动态
GLOBAL DYNAMICS




英特尔处理器又曝两个SGX新漏洞,攻击者可轻松提取敏感数据

        当英特尔努力消除多个处理器漏洞造成的负面影响的时候,三所大学的安全研究人员再次无情地曝光了 SGX 软件防护扩展指令的另外两个漏洞。对于攻击者来说,这可以让他们相当轻松地提取敏感数据。




CallStranger UPnP漏洞影响数十亿台设备

      安全专家发现了一个名为Call Stranger的新UPnP漏洞。该漏洞影响数十亿个设备,可以使攻击者能够劫持智能设备以进行分布式拒绝服务(DDoS)攻击,还可以绕过安全解决方案进行攻击,以对被攻击对象的内部网络进行扫描,从而有效地使攻击者可以访问他们通常无法访问的区域。




美国国防高级研究计划局启动漏洞赏金计划

       与大多数众包的漏洞搜寻项目不同,该项目针对硬件防御。美国国防高级研究计划局(DARPA)希望白帽黑客尝试并发现过去几年来为保护系统免受网络攻击而开发的新硬件级安全机制的漏洞。




IBM发布了开源工具箱,该工具箱实现了FHE以在加密时处理数据

       IBM已经发布了实现完全同态加密(FHE)的开源工具包,该工具包使研究人员无需访问实际数据即可处理加密数据。IBM发行的工具包已经可用于macOS和iOS,IT公司计划也发行Android和Linux版本。




2019年热门开源项目当中的漏洞增加了一倍

       一项分析前54个开源项目的研究发现,这些工具中的安全漏洞在2019年翻了一番,从2018年的421个bug到去年的968个。根据RiskSense今天发布的 “开源的黑暗现实 “报告,该公司在2015年至2020年3月期间发现流行的开源项目中报告了2694个bug。




Adobe Flash爆出严重漏洞:可任意获取用户个人隐私

        微软刚刚发布了久违的 Android 版 Authenticator 验证器App的更新,加入了可允许用户直接在App内修改密码等功能改进。今年早些时候,软件巨头已经为 iPhone 版验证器应用推出了更新,但 Android 版本却姗姗来迟。




ARM处理器或受侧信道攻击, 目前已有预防补丁可供更新

       ARM漏洞发现是Google发起的Safeside计划的其中一部分研究结果,目前只在ARMv8-A,也就是Cortex-A系列处理器里发现。利用这个漏洞的黑客可以用直线推测(Straight-Line Speculation,简称SLS)来对处理器发起侧信道攻击。




微软更新Android版验证器应用,可直接在App内修改密码

       微软刚刚发布了久违的 Android 版 Authenticator 验证器App的更新,加入了可允许用户直接在App内修改密码等功能改进。今年早些时候,软件巨头已经为 iPhone 版验证器应用推出了更新,但 Android 版本却姗姗来迟。



安全事件
SECURITY INCIDENT




严重漏洞可使攻击者控制交通信号灯

       SWARCO设计的交通信号灯控制器中的一个关键漏洞可能已被黑客利用来破坏交通信号灯。

       SWARCO是全球最大的信号头制造商,也是反射玻璃珠的国际第二大制造商。




日本军工传出噩耗,高超音速导弹信息被泄露

       日前,日本老牌军工企业三菱电机公司传出噩耗,其遭遇了大规模网络攻击,在该场网络攻击中,三菱电机公司遭受了信息泄露的重大损失,被泄露的信息中,包含了HGV的敏感信息。




UpnP的漏洞可使攻击者窃取数据,扫描内部网络

       UPnP中存在一个漏洞(CVE-2020-12695),该漏洞存在于数十亿个联网和物联网设备(个人计算机、打印机、移动设备、路由器、游戏机、Wi-Fi接入点等)中,可能允许未经身份验证的远程攻击者们窃取系统数据,扫描内部网络。



即将到期的SSL证书可能会破坏智能电视、冰箱等物联网安全性

       5月30日,部分Roku流媒体频道停止运作;当天,Stripe和Spreedly付款平台遇到了中断,并将其归咎于证书颁发机构(CA)root证书已过期。那些root证书的有效期限确实比服务器证书更长,最多可达20或25年,但它们终究会过期。




Zoom漏洞:超50万个Zoom账户泄露并在Dark Web出售

       黑客尝试使用泄露的帐户登录Zoom,然后将成功的登录名编译成列表,出售给其他黑客。在Dark Web和黑客论坛上,有超过50万个Zoom帐户可供出售,人们可以用1块钱买7000个账号。



因秘密收集用户数据,谷歌将至少50亿美元罚款

       在一项拟议的集体诉讼中,谷歌被指控用户在浏览器“无痕隐身模式”的上网过程中仍然被跟踪采集个人上网数据,从而非法侵犯了自2016年6月1日以来的数百万用户的数据隐私。



谷歌称境外黑客对特朗普和拜登等竞选者的电子邮件展开了攻击

       境外黑客正在对美总统候选人的电子邮件展开攻击,现任总统唐纳德·特朗普和民主党主要候选人乔·拜登的个人电子邮件账户都受到了威胁。分析称某些具有资深背景的黑客试图将拜登竞选团队的工作人员作为攻击目标,另有所谓的伊朗黑客将目光瞄向了特朗普竞选团队工作人员的电子邮件账户。



黑客劫持YouTube 的SpaceX频道骗取观众15万美元比特币

      黑客劫持了三个YouTube频道,冒充Elon Musk的SpaceX频道进行比特币诈骗。到目前为止,这些骗局已经在两天内骗取了近150,000美元的比特币。


END




主   编:杨文昌 @Vincent Yang
主理人:李   强 @Keellee




收藏
点赞
2000