个人信息保护法(草案)公布
2020年10月21日,《中华人民共和国个人信息保护法(草案)》公布并公开征求社会公众意见,征求意见截止日期为2020年11月19日。草案明确了适用范围 赋予必要域外适用效力。草案明确规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
参考来源:
https://mp.weixin.qq.com/s/PTJLJVXNNJBxDXKlMc5cTA
Apple/Opera/Yandex已修复地址栏欺骗漏洞 但仍有数百万设备未修复
近日,安全研究员Rafay Baloch发现浏览器的反网络钓鱼功能并不完美。他在某些使用最广泛的移动浏览器(包括Apple的Safari,Opera和Yandex)中发现了多个漏洞,而利用这些漏洞,攻击者将能够诱骗浏览器显示与用户实际访问网站不同的网址。这些地址栏欺骗错误使攻击者更容易使其仿冒网站看起来像合法网站,从而为试图窃取密码的人创造了完美的条件。
参考来源:
http://hackernews.cc/archives/32749
fabric8-maven-plugin 安全漏洞
fabric8-maven-plugin是个人开发者的一个为了快速部署 JAVA 程序的 Maven 插件。该库用于为Docker,Kubernetes和OpenShift构建和部署Java应用程序。fabric8-maven-plugin 4.0.0版本及之后版本存在安全漏洞,该漏洞源于当使用wildfly-swarm或thorntail自定义配置时,执行maven插件的本地机器上的恶意YAML配置文件可能允许反序列化不可信的数据,从而导致任意代码的执行。
参考来源:
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202010-1120
英美指控俄罗斯黑客计划攻击东京奥运会 目标包括赛事组织者、赞助商和后勤公司
据英媒报道,近日英国政府表示,俄罗斯军方侦察机关——情报总局今年夏天实施了针对2020年东京奥运会及残奥会的网络攻击,直至赛事被推迟为止。英国外交部称,俄罗斯黑客对东京奥运会相关官员和组织进行了“网络侦察”,目标包括奥运会赛事组织者、物流服务和赞助商。俄罗斯黑客(由军事情报机构格鲁乌支持)计划对东京奥运会进行网络攻击。
参考来源:
http://hackernews.cc/archives/32846
VMware ESXi 远程代码执行漏洞(CVE-2020-3992)通告
10月21日,VMware官方发布安全通告修复了一个VMware ESXi 远程代码执行漏洞(CVE-2020-3992)。漏洞来源于ESXi中使用的OpenSLP存在“use-after-free”释放后重利用问题,当攻击者在管理网络(management network)中时,可以通过访问ESXi宿主机的427端口触发OpenSLP服务的user-after-free,从而导致远程代码执行。CVSS评分为 9.8,请相关用户采取措施进行防护。
参考来源:
https://mp.weixin.qq.com/s/zgbXIVNooDrWqem_AvWevg
Weblogic多个远程代码执行漏洞通告
10月21日,Oracle官方发布2020年10月关键补丁更新(Critical Patch Update),修复了402个危害程度不同的安全漏洞。 其中包括5个WebLogic的严重漏洞(CVE-2020-14825、CVE-2020-14841、CVE-2020-14859、CVE-2020-14882、CVE-2019-17267),未经身份验证的攻击者可通过此次的漏洞实现远程代码执行。CVSS评分均为9.8,利用复杂度低。
参考来源:
https://mp.weixin.qq.com/s/6x1yYajQ7iIZo9YVCtdBLw
安全测试公司NSS实验室停止运营 理由是冠状病毒疫情
安全测试公司NSS Labs上周停止运营,该公司在其网站上的通知中称,受到正在进行的冠状病毒大流行的相关影响。这家公司在去年10月被私募股权公司Consecutive悄然收购。但据最早报道该公司关闭消息的Dark Reading称,上周该公司据说正在准备裁员。NSS Labs是最知名的产品安全测试公司之一,允许客户使用真实的威胁数据对产品进行压力测试,发现潜在的漏洞和安全问题。
参考来源:
https://www.cnbeta.com/articles/tech/1043109.htm
本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。
关于安全帮®
安全帮®,是中国电信研究院安全工程研究中心旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。
联系方式:微信公众号留言或联系客服QQ3025437891