VMware披露Workspace中的提权0day，，，尚未宣布补�。。。唬�；；Tesla Model X密钥卡保存误差可用来快速解锁汽车

首页 > 清静研究 > 清静转达 > 清静简讯

VMware披露Workspace中的提权0day，，，尚未宣布补�。。。唬�；；Tesla Model X密钥卡保存误差可用来快速解锁汽车

宣布时间 2020-11-25

1.VMware披露Workspace中的提权0day，，，尚未宣布补丁

VMware披露了影响其Workspace One多个组件中的提权0day，，，攻击者可使用该误差提权以在Linux和Windows操作系统上执行下令，，，现在尚未宣布相关补丁程序。。。该误差被跟踪为CVE-2020-4006，，，CVSS品级为9.1，，，其影响了VMware Workspace ONE Access、会见毗连器、身份治理器、身份治理器毗连器、VMware云基金会和vRealize Suite生命周期治理器。。。现在，，，VMware已宣布暂时解决步伐以消除攻击前言并避免误差的使用。。。

原文链接：

https://threatpost.com/vmware-zero-day-patch-pending/161523/

2.TikTok修复两个可导致账户接受的XSS和CSRF误差

TikTok修复了两个可导致账户接受的XSS和CSRF误差。。。第一个误差为URL参数中的非长期性跨站点剧本（XSS）误差，，，该URL的参数返回了未经适当处置惩罚的值，，，可能导致数据泄露。。。第二个为API端点的跨站点请求伪造（CSRF）误差，，，攻击者可使用其更改使用第三方应用程序注册的用户的帐户密码。。。黑客可以连系使用这两个误差，，，通过制作一个简朴的JavaScript有用负载，，，在触发CSRF后将其注入到易受攻击的URL参数中，，，然后一键接会计户。。。

原文链接：

https://www.bleepingcomputer.com/news/security/tiktok-fixes-bugs-allowing-account-takeover-with-one-click/

3.FBI宣布忠言称黑客伪造与其相关的域名来窃取用户信息

FBI互联网犯法投诉中心（IC3）宣布忠言，，，称黑客伪造与其相关的域名来窃取用户信息。。。FBI宣布此通告，，，旨在资助公众识别和阻止与FBI相关的诱骗性域名。。。其发明未经注册的黑客通过诱骗正当的联邦视察局网站注册了许多域，，，这批注晰未来的攻击活动的可能性。。。攻击者或将使用伪造的域名和电子邮件撒播虚伪信息，，，网络有用的用户名、密码和电子邮件地点，，，网络小我私家身份信息并撒播恶意软件，，，这可能导致进一步的攻击活动和可能的财务损失。。。

原文链接：

https://www.bleepingcomputer.com/news/security/fbi-warns-of-recently-registered-domains-spoofing-its-sites/

4.Tesla Model X密钥卡保存误差可用来快速解锁汽车

比利时清静研究职员Lennert Wouters发明Tesla Model X密钥卡保存误差可用来快速解锁汽车。。。Wouters称，，，攻击者可以使用从旧的Model X车辆中接纳的电子控制单位（ECU）来使用此误差。。。首先改装接纳的ECU来叫醒目的密钥卡，，，使其相信该ECU属于其配对车辆。。。然后通过BLE（蓝牙低能耗）协议将恶意固件更新推送到该密钥卡。。。一旦乐成入侵密钥卡，，，攻击者就会从中提取汽车解锁新闻，，，然后使用这些解锁信息进入目的车辆。。。现在，，，该误差已被修复。。。

原文链接：

https://www.zdnet.com/article/tesla-model-x-hacked-and-stolen-in-minutes-using-new-key-fob-hack/

5.欧盟ENISA宣布确保物联网供应链清静的指南

欧盟网络清静机构（ENISA)宣布了确保物联网供应链清静的指南。。。该指南提出了与供应链相关的危害剖析的效果，，，这是基于对影响供应链加入者、流程和手艺的现代威胁的前沿研究。。。凭证剖析效果得出结论，，，为确保物联网供应链清静应在供应链加入者之间建设更好的关系；；；；一直周全增强系统开发职员和用户的网络清静专业知识；；；；接纳设计清静原则；；；；对清静接纳周全而明确的要领，，，明确思量所有相关威胁并接纳响应步伐；；；；使用现有的清静标准和优异做法。。。

原文链接：

https://ics-cert.kaspersky.com/news/2020/11/23/enisa-publishes-guidelines-for-securing-internet-of-things-supply-chain/

6.GBG宣布2020年度有关数字身份的态势剖析报告

GBG宣布2020年度数字身份态势的剖析报告，，，并称2020年有五分之一的消耗者受到身份诓骗的影响。。。该报告发明，，，由于COVID-19以来身份偷窃事务的增添，，，企业和消耗者之间的信任差别可能会扩大。。。由于社会隔离的限制，，，人们越来越依赖数字效劳。。。GBG指出，，，到2020年，，，有47％的人开设了新的在线购物帐户，，，而35％的人开设了新的社交媒体帐户，，，有31％的人开设了在线银行帐户。。。别的，，，有33％的公众以为他们的小我私家信息现在正在暗网上出售。。。

原文链接：

https://www.gbgplc.com/the-gbg-state-of-digital-identity-2020/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究