首页 > 清静研究 > 清静转达 > 清静简讯

Capital One泄露1.06亿用户信息；Android RCE误差，可通过播放恶意视频入侵用户装备

宣布时间 2019-07-30

1、Capital One泄露1.06亿用户信息，嫌疑人已被捕

尊龙凯时·(中国区)人生就是搏!

Capital One确认其系统于3月22日至23日时代遭未授权会见，导致1.06亿用户的信息泄露，包括生意数据、信用评分、支付历史、余额以及关联的银行账户和社会清静号码。受影响的用户包括1亿美国人和600万加拿大人。凭证相关证据，FBI已经拘捕了嫌疑人Paige Thompson。Capital One体现由于客户通知、免费的信用监控服务、清静刷新本钱以及执法用度，这一事务将导致约1亿至1.5亿美元的本钱。

原文链接：https://www.bleepingcomputer.com/news/security/capital-one-data-breach-affects-106-million-people-suspect-arrested/

2、丝芙兰官网遭黑客入侵，客户隐私信息泄露

尊龙凯时·(中国区)人生就是搏!

丝芙兰官网遭黑客入侵，导致客户隐私信息泄露。丝芙兰是美容产品、化妆品和护肤品的在线购物网站，其客户信息遭第三方未授权会见。泄露的信息包括客户的姓名、出生日期、性别、电子邮件地点、美容偏好和加密密码，但不涉及信用卡信息。受影响的地区包括新加坡、马来西亚、印度尼西亚、泰国、菲律宾、中国香港、澳大利亚以及新西兰。该公司要求客户更改现有密码，并为受影响的客户提供免费的隐私监控服务。

原文链接：https://www.stuff.co.nz/business/114597785/kiwi-customers-names-emails-passwords-stolen-in-sephora-data-breach

3、波多黎各两家医院遭勒索软件攻击，波及52万患者信息

尊龙凯时·(中国区)人生就是搏!

波多黎各Bayamón医疗中心及其隶属妇女儿童医院成为勒索软件攻击的最新受害者，该攻击事务影响了凌驾52万名患者的数据，其中包括42万Bayamón医疗中心患者和近10万妇女和儿童医院患者。在事务爆发后，医院举行了内部视察以确认攻击的泉源和受损水平，并约请了第三方来资助恢复加密的文件。医院体现现在没有任何迹象批注这些信息已被任何未经授权的小我私家所使用。

原文链接：http://www.bayamon-medical.com/prwch/docs/comunicado_de_prensa.jpg

4、休斯敦学校遭勒索软件攻击，被迫推迟开学日期

尊龙凯时·(中国区)人生就是搏!

休斯敦学校遭勒索软件攻击，该学校被迫将开学日期向后推迟了4天。该学校原定于8月1日开学，但由于攻击者熏染了学校的系统服务器，导致整个学校的系统功效受到影响，因此学生将被推迟到8月5日开学。该学校要求西席和职员不要使用学校的电脑，直至收到另行通知。学校认真人David Sewell体现还无法确认攻击的受损水平。该学校正在与联邦机构、FBI等协同解决该问题。

原文链接：https://www.dothaneagle.com/news/education/officials-can-t-confirm-county-school-system-hack-isn-t/article_f628759e-afd7-11e9-a8aa-eba139975480.html

5、Facebook Widget XSS误差，下载量近100万

尊龙凯时·(中国区)人生就是搏!

WordPress插件Facebook Widget被曝保存一个XSS误差，该插件的下载量达快要100万。凭证Plugin Vulnerabilities的报告，该误差与缺乏对短代码属性清静性的准确处置惩罚有关，详细来说，短代码“fb_widget”使得函数fb_plugin_shortcode()运行，但该函数的第一行代码将短代码中的属性设置为变量$defaults而未对输入举行整理，该代码还将未经转义的输出作为HTML标签的属性。攻击者可使用该误差植入恶意JavaScript代码，导致经由身份验证的长期性XSS攻击。研究职员宣布了用于演示攻击的PoC。

原文链接：https://www.securityweek.com/authenticated-xss-found-wordpress-plugin-facebook-widget

6、Android RCE误差，可通过播放恶意视频入侵用户装备

尊龙凯时·(中国区)人生就是搏!

Android OS版本7.0和9.0之间保存严重的RCE误差（CVE-2019-2107），因此用户的Android装备可能因播放视频而被黑客入侵。该误差保存于媒体框架组件中，攻击者可使用恶意文件在特权历程的上下文中执行恣意代码。谷歌在7月的Android清静更新中修复了该误差，但仍有大宗装备在期待厂商推送该补丁。研究职员Marcin Kozlowski宣布了一个误差验证的PoC，使用Android的原生视频播放器播放该HEVC编码的视频可导致播放器瓦解。但若是使用WhatsApp或Facebook等即时通讯APP吸收此恶意视频，则攻击无效，由于压缩会破损视频中的恶意代码。

原文链接：https://securityaffairs.co/wordpress/89027/hacking/android-rce-cve-2019-2107.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

Capital One泄露1.06亿用户信息；Android RCE误差，可通过播放恶意视频入侵用户装备

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线

软件升级

投资者关系

清静研究

Capital One泄露1.06亿用户信息；Android RCE误差，可通过播放恶意视频入侵用户装备

7*24小时服务热线

Capital One泄露1.06亿用户信息；Android RCE误差，可通过播放恶意视频入侵用户装备