首页 > 清静研究 > 清静转达 > 清静简讯

Chrome、Edge和Safari均在天府杯中被攻破；路易斯安那州政府遭勒索软件攻击

宣布时间 2019-11-19

1、微软宣布11月Office清静更新，修复多个误差

微软在11月Office清静更新中为7个差别的产品宣布了17个清静更新和5个累计更新，其中15个与未授权的信息会见有关。微软在17个Office清静更新中修复了6个信息泄露误差，包括CVE-2019-1442、CVE-2019-1443、CVE-2019-1446、CVE-2019-1448、CVE-2019-1402和CVE-2019-1409，受影响的产品包括Office 2010到Office 2016、Excel 2010到Excel 2016、SharePoint Server 2010到SharePoint Server 2019。另外两个误差还包括SharePoint Server 2019语言包和Office Online服务器中的清静绕过误差（CVE-2019-1449和CVE-2019-1457）。完整误差列表请参考以下链接。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-the-november-2019-security-updates-for-office/

2、谷歌修复Gmail动态电子邮件功效中的XSS误差

尊龙凯时·(中国区)人生就是搏!

谷歌修复Gmail动态电子邮件功效中的XSS误差，凭证研究职员的表述，该误差是DOM Clobbering攻击的一个典典范子。该误差保存于AMP4Email（也称为动态电子邮件）功效中，AMP4Email具有一个过滤XSS的验证系统，但研究职员发明标签中id的属性是被允许的。在AMP4Email中，id属性的某些值受到限制，可是，在AMP_MODE中若是该函数实验加载JS文件，则过失会导致404，从而在效果URL中导致“未界说”的部分。攻击者可通过将payload写入window.testLocation来控制URL。但在现真相形中AMP的内容清静战略（CSP）功效将会阻止代码获得执行。

原文链接：

https://www.zdnet.com/article/google-patches-awesome-xss-vulnerability-in-gmail/

3、印度美妆平台Nykaa API误差袒露近100万用户数据

印度美妆零售平台Nykaa Fashion已修复一个可导致近100万客户信息泄露的误差。这是一个API误差，攻击者（例如黑客或电话推销员）可使用自动化剧本获取用户数据，包括订单详细信息、邮件标识、姓名、电话号码和电子邮件地点。Nykaa首席手艺官Sanjay Suri在一份声明中体现，该公司已经解决了该问题并且没有小我私家或财务数据泄露。

原文链接：

https://economictimes.indiatimes.com/small-biz/startups/newsbuzz/nykaa-fixes-a-data-security-bug/articleshow/72101784.cms

4、Chrome、Edge和Safari均在天府杯中被攻破

尊龙凯时·(中国区)人生就是搏!

在11月16日至17日成都举行的天府杯上，Edge、Chrome、Safari均被参赛者攻破，其它被攻破的产品还包括Office 365、iOS、小米、Vivo、VirtualBox、友讯科技的路由器、Adobe PDF 和 VMWare Workstation等。这次大赛上共有23支步队参赛，赛制类似于Pwn2Own，共设置了100万美元奖金池。在这次为期两天的角逐中，共有20次攻击实验获得乐成，参赛者一共赢得了54.5万美元的奖金。

原文链接：
https://www.zdnet.com/article/chrome-edge-safari-hacked-at-elite-chinese-hacking-contest/

5、新垂纶运动主要针对Microsoft Office治理员

尊龙凯时·(中国区)人生就是搏!

PhishLabs发明一个针对Microsoft Office 365治理员的网络垂纶运动。该运动始于垂纶邮件，邮件伪装成来自Microsoft，并在顶部显示Office 365的logo，但它来自不属于Microsoft的经由验证的域。若是收件人点击了邮件中的链接，则会被重定向到虚伪的Office 365登录页面。攻击者专门针对治理员的凭证，通过入侵治理员账户，他们可以潜在地控制与给定域关联的其他电子邮件帐户，还可以使用治理员帐户的权限来建设其他帐户，举行更多恶意攻击。

原文链接：
https://www.tripwire.com/state-of-security/security-data-protection/phishers-targeting-microsoft-office-365-admin-credentials/

6、路易斯安那州政府遭勒索软件攻击导致停摆

尊龙凯时·(中国区)人生就是搏!

11月18日路易斯安那州政府遭到勒索软件攻击，包括车辆治理办公室、卫生部、运输与生长部在内的多个州部分已停摆。该攻击是在11点报告的，此前该州已强制关闭了由该州运营的众多网站及电子邮件服务。据外地媒体报道，该州的多个服务机构都受到滋扰，包括79个无邪车办公室。州长John Bel Edwards体现他已激生路易斯安那州的网络清静团队来协调此次攻击造成的破损。现在尚不清晰该攻击事务中勒索软件的类型。

原文链接：

https://www.bleepingcomputer.com/news/security/louisiana-government-suffers-outage-due-to-ransomware-attack/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

Chrome、Edge和Safari均在天府杯中被攻破；路易斯安那州政府遭勒索软件攻击

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线

软件升级

投资者关系

清静研究

Chrome、Edge和Safari均在天府杯中被攻破；路易斯安那州政府遭勒索软件攻击

7*24小时服务热线

Chrome、Edge和Safari均在天府杯中被攻破；路易斯安那州政府遭勒索软件攻击