微软宣布微码更新，，，，修复Intel CPU中侧信道误差；；；谷歌宣布Chrome补丁，，，，修复两个被在野使用的0day

首页 > 清静研究 > 清静转达 > 清静简讯

微软宣布微码更新，，，，修复Intel CPU中侧信道误差；；；谷歌宣布Chrome补丁，，，，修复两个被在野使用的0day

宣布时间 2020-11-12

1.微软宣布微码更新，，，，修复Intel CPU中侧信道误差

微软已针对Windows 10 20H2、2004、1909宣布了Intel微代码更新，，，，以修复Intel CPU中的侧信道误差Platypus。。。该误差由格拉茨手艺大学、CISPA亥姆霍兹信息清静中心和伯明翰大学的组成的研究团队披露，，，，位于英特尔的运行平均功率限制（RAPL）界面中。。。研究职员批注，，，，攻击者可以使用RAPL接口监视功耗并推断CPU正在执行哪些指令，，，，从而从内存中窃取敏感数据。。。别的此次更新还修复了矢量寄存器采样活动中误差（CVE-2020-8696）和快速存储前瞻展望器中误差（CVE-2020-8698）。。。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/windows-10-intel-microcode-released-to-fix-new-cpu-security-bugs/

2.谷歌宣布Chrome补丁，，，，修复两个被在野使用的0day

谷歌宣布Chrome版本86.0.4240.198，，，，修复两个被在野使用的0day。。。此次修复的误差划分为V8中不适当的实现误差（CVE-2020-16013）和Site Isolation中的释放后使用误差（CVE-2020-16017），，，，现在尚不清晰这两个误差是需要作为误差使用链的一部分一起使用照旧单独使用。。。这两个误差是已往三周内Google在Chrome中修复的第四和第五个0day，，，，之前尚有FreeType字体渲染库中误差（CVE-2020-15999）、V8 JavaScript引擎中误差（CVE-2020-16009）和UI组件中误差（CVE-2020-16010）。。。

原文链接：

https://www.zdnet.com/article/google-patches-two-more-chrome-zero-days/

3.研究职员发明GNOME显示治理器保存外地提权误差

研究职员发明GNOME显示治理器（gdm）保存易于使用的外地提权误差。。。GitHub的清静研究员Kevin Backhouse在用来跟踪系统上可用用户的组件AccountsService中发明了两个误差，，，，可导致该组件挂起（CVE-2020-16127）和放弃用户帐户特权（CVE-2020-16126），，，，可通过向其发送延迟的分段过失信号来使守护程序瓦解。。。攻击者可以使用该误差建设具有更高权限的帐户，，，，并以治理员权限（root）运行代码。。。

原文链接：

https://www.bleepingcomputer.com/news/security/ubuntus-gnome-desktop-could-be-tricked-into-giving-root-access/

4.黑客用Facebook链接预览功效绕过黑名单来抓取数据

黑客使用Facebook链接预览功效，，，，并使用Facebook API效劳器作为署理以阻止被列入黑名单，，，，来从互联网上抓取数据。。。该手艺之以是乐成，，，，是由于大大都网站运营商都允许Facebook效劳器抓取其站点的数据，，，，由于这些被网络的数据通�；；；岜挥糜谡蹦康摹！�。别的，，，，清静公司DataDome发明黑客组织可使用该功效以每小时10000个URL的速率检索链接预览。。。现在Facebook已经改善了Messenger预览API的速率限制。。。

原文链接：

https://www.zdnet.com/article/facebook-link-preview-feature-used-as-a-proxy-in-website-scraping-scheme/

5.黑客在暗网出售580万条RedDoorz旅馆客户的纪录

黑客在暗网出售580万条RedDoorz旅馆客户的纪录。。。RedDoorz是新加坡的旅馆治理和预订平台，，，，在整个东南亚拥有1000多家旅馆。。。黑客本周最先在暗网出售包括580万RedDoorz用户纪录的数据库，，，，其中包括用户的电子邮件、bcrypt哈希密码、姓名、性别、小我私家资料照片的链接、电话号码、辅助电话号码、出生日期和职业，，，，但它不包括任何财务信息。。。

原文链接：

https://www.bleepingcomputer.com/news/security/58-million-reddoorz-user-records-for-sale-on-hacking-forum/

6.Zscaler宣布2020年加密攻击态势的剖析报告

Zscaler宣布了2020年加密攻击态势的剖析报告，，，，展现了基于加密的威胁将增添260％。。。别的，，，，该研究还发明COVID-19推动了勒索软件攻击的激增，，，，从3月最先勒索软件对加密流量的攻击增添了5倍，，，，与COVID相关的威胁激增了30000％；；；垂纶攻击次数高达1.93亿次，，，，主要针对制造业（38.6％）、效劳业（13.8％）和医疗保健！�。ㄕ�10.9％）；；；黑客在绕过检测方面的手艺更为重大，，，，30％的基于SSL的攻击诱骗了受信任的云提供商。。。

原文链接：

https://www.zscaler.com/press/new-research-shows-attackers-turning-encrypted-attacks-during-pandemic

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究