记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【安全帮】CVE-2020-2555:Oracle Coherence反序列化远程代码执行漏洞细节被公开

2020-03-10 11:13

CVE-2020-2555Oracle Coherence反序列化远程代码执行漏洞细节被公开

3月6日,Oracle Coherence 反序列化远程代码执行漏洞(CVE-2020-2555)的细节被公开。Oracle Coherence为Oracle融合中间件中的产品,在WebLogic 12c及以上版本中默认集成到WebLogic安装包中,攻击者通过t3协议发送构造的序列化数据,能过造成命令执行的效果。该漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。如果不依赖T3协议进行JVM通信,禁用T3协议。

参考来源:

https://www.anquanke.com/post/id/200396

 

特斯拉、波音、SpaceX供应商遭勒索软件攻击

据外媒报道,总部位于科罗拉多州丹佛的精密零件制造商Visser Precision遭受勒索软件攻击。由于是特斯拉、波音、洛克希德·马丁公司和SpaceX等行业巨头的零件供应商,因此该事件引发了不小的震动。黑客威胁说,如果Visser不支付赎金,它们就会泄漏与这些公司有关的敏感文件,并且已经泄漏了Visser Precision与特斯拉和SpaceX签署的保密协议。

参考来源:

https://www.secrss.com/articles/17736

 

澳大利亚为《云法案》协议扫清障碍

基于《合法使用境外数据明确法》(《云法案》),澳大利亚联邦政府修订《电信(拦截和接入)法案》,以加强与美国未来的双边协议。此次修订将基于《电信(监听和访问)法案》建立一个新的框架,允许协议国在出于执法目的时,互相跨境访问通信数据。此次修订条例通过后,澳大利亚将允许协议国的执法机构和国家安全机构直接访问通信供应商在本国的数据。

参考来源:

https://www.easyaq.com/news/2147307661.shtml

 

首款破解 2FA Android 恶意程序曝光:可窃取银行帐号

上月,总部位于阿姆斯特丹的网络安全公司ThreatFabric发现了名为Cerberus的恶意程序。它是有史以来首款能够成功窃取Google Authenticator应用程序生成的2FA(两因素身份验证)代码功能的Android恶意软件。该软件目前正在开发过程中,目前没有证据表明已用于实际攻击。研究人员表示,该恶意程序混合了银行木马和远程访问木马(RAT)特性。一旦Android用户被感染,黑客便会使用该恶意软件的银行木马功能来窃取移动银行应用程序的帐号凭据。

参考来源:

http://hackernews.cc/archives/29647

 

加密漏洞允许黑客克隆丰田现代起亚的汽车遥控钥匙

比利时鲁汶大学和英国伯明翰大学的研究人员在汽车防盗控制器使用的加密系统中发现了漏洞。确切的说,是在丰田、现代和起亚实现的德州仪器加密系统 DST80 中发现了漏洞。黑客利用廉价的 Proxmark RFID 发射机在使用 DST80 的遥控钥匙附近可以收集到足够的信息去推断其密值,克隆遥控钥匙,关闭防盗系统启动汽车引擎。多款型号汽车受影响,包括特斯拉 Tesla S,但在报告发布后特斯拉已经释出了固件更新修复了漏洞。

参考来源:

https://www.solidot.org/story?sid=63750

 

谷歌现移除Edge访问Chrome Web Store的安全警告

尽管Chrome和新版Edge均基于开源Chromium浏览器,但后者在访问某些谷歌服务以及Chrome Web Store上并没有获得“友好接待”,会提醒安全警告。在经过媒体报道之后,现在通过Edge浏览器访问Chrome Web Store不再继续显示警告,而是可以自由添加了。移除警告内容,意味着Edge浏览器用户可以安全的使用Chrome应用商城的扩展程序。

参考来源:

https://news.pconline.com.cn/1326/13269370.html

 

Facebook起诉Namecheap以保护人们免受域名欺诈

Facebook宣布,它已对域名注册商Namecheap及其Whoisguard隐私保护服务提起诉讼,因为它拒绝提供一系列有关欺诈性域名的信息。欺诈域通常被用于恶意活动,例如网络钓鱼和诈骗。该社交网络巨头发现了45个域名在冒充Facebook及侵犯其商标。

参考来源:

https://securityaffairs.co/wordpress/99138/social-networks/facebook-namecheap-domain-name-fraud.html


知识来源: www.youxia.org/2020/03/50315.html

阅读:184186 | 评论:0 | 标签:漏洞 CVE

想收藏或者和大家分享这篇好文章→复制链接地址

“【安全帮】CVE-2020-2555:Oracle Coherence反序列化远程代码执行漏洞细节被公开”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持·广告位💖

标签云