微软宣布微码更新，修复Intel CPU中侧信道误差；谷歌宣布Chrome补丁，修复两个被在野使用的0day

首页 > 清静研究 > 清静转达 > 清静简讯

微软宣布微码更新，修复Intel CPU中侧信道误差；谷歌宣布Chrome补丁，修复两个被在野使用的0day

宣布时间 2020-11-12

1.微软宣布微码更新，修复Intel CPU中侧信道误差

微软已针对Windows 10 20H2、2004、1909宣布了Intel微代码更新，以修复Intel CPU中的侧信道误差Platypus。该误差由格拉茨手艺大学、CISPA亥姆霍兹信息清静中心和伯明翰大学的组成的研究团队披露，位于英特尔的运行平均功率限制（RAPL）界面中。研究职员批注，攻击者可以使用RAPL接口监视功耗并推断CPU正在执行哪些指令，从而从内存中窃取敏感数据。别的此次更新还修复了矢量寄存器采样运动中误差（CVE-2020-8696）和快速存储前瞻展望器中误差（CVE-2020-8698）。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/windows-10-intel-microcode-released-to-fix-new-cpu-security-bugs/

2.谷歌宣布Chrome补丁，修复两个被在野使用的0day

谷歌宣布Chrome版本86.0.4240.198，修复两个被在野使用的0day。此次修复的误差划分为V8中不适当的实现误差（CVE-2020-16013）和Site Isolation中的释放后使用误差（CVE-2020-16017），现在尚不清晰这两个误差是需要作为误差使用链的一部分一起使用照旧单独使用。这两个误差是已往三周内Google在Chrome中修复的第四和第五个0day，之前尚有FreeType字体渲染库中误差（CVE-2020-15999）、V8 JavaScript引擎中误差（CVE-2020-16009）和UI组件中误差（CVE-2020-16010）。

原文链接：

https://www.zdnet.com/article/google-patches-two-more-chrome-zero-days/

3.研究职员发明GNOME显示治理器保存外地提权误差

研究职员发明GNOME显示治理器（gdm）保存易于使用的外地提权误差。GitHub的清静研究员Kevin Backhouse在用来跟踪系统上可用用户的组件AccountsService中发明了两个误差，可导致该组件挂起（CVE-2020-16127）和放弃用户帐户特权（CVE-2020-16126），可通过向其发送延迟的分段过失信号来使守护程序瓦解。攻击者可以使用该误差建设具有更高权限的帐户，并以治理员权限（root）运行代码。

原文链接：

https://www.bleepingcomputer.com/news/security/ubuntus-gnome-desktop-could-be-tricked-into-giving-root-access/

4.黑客用Facebook链接预览功效绕过黑名单来抓取数据

黑客使用Facebook链接预览功效，并使用Facebook API服务器作为署理以阻止被列入黑名单，来从互联网上抓取数据。该手艺之以是乐成，是由于大大都网站运营商都允许Facebook服务器抓取其站点的数据，由于这些被网络的数据通�；岜挥糜谡蹦康�。别的，清静公司DataDome发明黑客组织可使用该功效以每小时10000个URL的速率检索链接预览。现在Facebook已经改善了Messenger预览API的速率限制。

原文链接：

https://www.zdnet.com/article/facebook-link-preview-feature-used-as-a-proxy-in-website-scraping-scheme/

5.黑客在暗网出售580万条RedDoorz旅馆客户的纪录

黑客在暗网出售580万条RedDoorz旅馆客户的纪录。RedDoorz是新加坡的旅馆治理和预订平台，在整个东南亚拥有1000多家旅馆。黑客本周最先在暗网出售包括580万RedDoorz用户纪录的数据库，其中包括用户的电子邮件、bcrypt哈希密码、姓名、性别、小我私家资料照片的链接、电话号码、辅助电话号码、出生日期和职业，但它不包括任何财务信息。

原文链接：

https://www.bleepingcomputer.com/news/security/58-million-reddoorz-user-records-for-sale-on-hacking-forum/

6.Zscaler宣布2020年加密攻击态势的剖析报告

Zscaler宣布了2020年加密攻击态势的剖析报告，展现了基于加密的威胁将增添260％。别的，该研究还发明COVID-19推动了勒索软件攻击的激增，从3月最先勒索软件对加密流量的攻击增添了5倍，与COVID相关的威胁激增了30000％；垂纶攻击次数高达1.93亿次，主要针对制造业（38.6％）、服务业（13.8％）和医疗保�。ㄕ�10.9％）；黑客在绕过检测方面的手艺更为重大，30％的基于SSL的攻击诱骗了受信托的云提供商。

原文链接：

https://www.zscaler.com/press/new-research-shows-attackers-turning-encrypted-attacks-during-pandemic

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究