鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静简讯

Apple清静更新，，，，，，，修复macOS中被Shlayer使用的0day；；；；；；Cisco披露Linux内核中可绕过KASLR的信息泄露误差

宣布时间 2021-04-28

1.Apple清静更新，，，，，，，修复macOS中被Shlayer使用的0day

Apple宣布清静更新，，，，，，，修复macOS Big Sur 11.3中已被使用的0day。。。。。。清静团队Jamf发明，，，，，，，从2021年1月最先恶意软件Shlayer使用了一个0day（CVE-2021-30657），，，，，，，来绕过Apple的文件隔离、Gatekeeper和公证清静检查，，，，，，，并下载第二阶段所使用的payload。。。。。。别的，，，，，，，此次更新还修复了iOS、iPadOS和watchOS中的多个0day，，，，，，，包括WebKit Storage的内存损坏误差（CVE-2021-30661）、远程代码执行误差（CVE-2020-27930）、内核内存泄露误差（CVE-2020-27950）和内核特权提升误差（CVE-2020-27932）。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/apple-fixes-macos-zero-day-bug-exploited-by-shlayer-malware/

2.Valve宣布更新，，，，，，，修复Steam中已保存两年的RCE误差

Valve宣布更新，，，，，，，修复游戏平台Steam中已保存两年的RCE误差。。。。。。该误差可在恶意游戏约请中添加下令，，，，，，，对游戏做出细小的的调解，，，，，，，如修改游戏语言、迅速度、区分率等。。。。。。可是由于Source RCON协议允许效劳器所有者在效劳器中执行下令，，，，，，，使用此特征可提倡RCE攻击。。。。。。别的，，，，，，，研究职员还演示了怎样使用该误差来完全接受CS：GO游戏玩家的账号。。。。。。研究职员Florian于2019年报告了该误差，，，，，，，Valve在2021年4月17日宣布了补丁程序，，，，，，，并分派了CVE-2021-30481。。。。。。

原文链接：

https://latesthackingnews.com/2021/04/26/valve-finally-patched-a-steam-rce-vulnerability-that-waited-a-fix-for-two-years/

3.Cisco披露Linux内核中可绕过KASLR的信息泄露误差

Cisco Talos称，，，，，，，Linux内核中保存可绕过KASLR的信息泄露误差。。。。。。该误差被追踪为CVE-2020-28588，，，，，，，位于运行Linux的32位ARM装备的/proc/pid/ syscall功效中，，，，，，，是由于读取文件时数值转换不准确而引起的。。。。。。通过使用几条shell下令，，，，，，，攻击者可以输出24个字节的未初始化的客栈内存，，，，，，，这些内存可以被用来绕过内核地点空间结构随机化（KASLR）。。。。。。Cisco建议用户尽快更新受影响的产品Linux内核版本5.10-rc4、5.4.66和5.9.8。。。。。。

原文链接：

https://threatpost.com/linux-kernel-bug-wider-cyberattacks/165640/

4.油田公司Gyrodata熏染勒索软件，，，，，，，员工敏感信息泄露

美国油田公司Gyrodata透露，，，，，，，其于2月21日发明遭到了勒索软件攻击，，，，，，，员工敏感信息泄露。。。。。。经视察确定，，，，，，，黑客在2021年1月16日至2月22日之间可以会见其部分系统和相关数据，，，，，，，可能泄露了现员工和前员工的小我私家信息，，，，，，，包括出生日期、地点、社会包管号、驾照号码、护照号码、W-2税表和康健妄想信息等。。。。。。阻止上周四，，，，，，，该公司一直在联系受影响的员工，，，，，，，并建设了专门的呼叫中心来应对可能泛起的问题。。。。。。

原文链接：

https://www.securityweek.com/oilfield-services-company-gyrodata-discloses-data-breach

5.Reverb通知客户因其效劳器设置过失泄露560多万条纪录

Reverb于4月26日向其客户发送了数据泄露通知，，，，，，，批注已泄露了客户信息。。。。。。Reverb主要在线销售乐器等装备，，，，，，，此次泄露的客户信息包括姓名、地点、电话号码、PayPal邮件地点和订单信息等内容。。。。。。Reverb并未在通知中说明他们是因何泄露数据的，，，，，，，但清静研究员Bob Diachenko称其在Internet上发明了一个袒露的Elasticsearch效劳器，，，，，，，其中包括凌驾560万条纪录。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/reverb-discloses-data-breach-exposing-musicians-personal-info/

6.黑客在暗网果真美国2.5亿个公民的小我私家和家庭信息

2021年4月22日，，，，，，，名为Pompompurin的黑客在暗网果真了一个数据库，，，，，，，其中包括了凌驾250807711个美国公民的小我私家和家庭信息。。。。。。该数据库有263 GB的纪录，，，，，，，包括了1255个CSV子文件，，，，，，，每个子文件有200000个列表，，，，，，，包括姓名、电话号码、邮件地点、出生日期、婚姻状态、性别、信用能力、政治派别、车辆数目、收入明细和孩子个数等内容。。。。。。现在尚不清晰数据的泉源，，，，，，，相关职员透露来自Amazon Web Server上托管的开放式Apache SOLR。。。。。。

原文链接：

https://www.hackread.com/hacker-dumps-household-records-of-americans/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】