1研究人员发现Mitron视频制作应用程序存在漏洞
Mitron是一款视频制作应用,该应用程序有一个重大的安全漏洞,可以让威胁行动者绕过账户授权来利用用户的账户。网络安全研究员RahulKankrale透露这一安全漏洞存在于应用程序的“谷歌登录”功能中。这个功能需要用户在注册时通过谷歌账户访问他们个人信息的权限。但是,它不使用对用户身份验证所需的任何秘密令牌。因此,攻击者只需要知道受害者的唯一用户ID,他们就可以访问该账户,而不需要任何密码。此安全漏洞尚未修复。
2苹果修复了IOS内核中越狱iPhone的零日漏洞
苹果发布了安全补丁,以解决iOS内核中用于越狱iPhone的CVE--零日漏洞。据CERT协调中心称,内核漏洞可能允许恶意应用程序实现未沙盒化的内核级代码执行,越狱可在使用支持指针身份验证代码(PAC)的CPU的现代iOS设备上运行,这表明PAC不能阻止利用此漏洞。现在,苹果公司解决了该漏洞,并透露该漏洞的根本原因是内存消耗。
3VMwareCloudDirector平台中存在代码注入漏洞
网络安全研究人员今天披露了VMwareCloudDirector平台中一个新漏洞的详细信息,该漏洞可能允许攻击者访问敏感信息,并控制整个基础架构中的私有云。代码注入漏洞被追踪为CVE--,其源于不正确的输入处理,可被经过身份验证的攻击者滥用,从而向CloudDirector发送恶意流量,导致执行任意代码。受到此漏洞影响的VMwareCloudDirector版本有:10.0.0.2之前的10.0.x版本、9.7.0.5之前的9.7.0.x版本、9.5.0.6之前的9.5.0.x版本和9.1.0.4之前的9.1.0.x版本。
4Sodinokibi勒索软件操控者泄露Elexon公司文件
今年5月,英国电网网络中间商Elexon遭受了网络攻击,其系统已被Sodinokibi勒索软件感染。该事件仅影响了内部IT网络,包括公司的电子邮件服务器和员工笔记本电脑。两周后,Sodinokibi操控者在其泄露网站上公布了据称从该公司窃取的份文件。这些文件包括Elexon员工的护照和一份商业保险申请表。Elexon没有支付赎金,也没有从备份中恢复操作,因此,Sodinokibi操控者决定泄漏被盗的文件。
5西班牙在线学习平台8belt数据泄露暴露用户信息
西班牙在线学习平台“8belt”未能保护其用户的敏感信息,暴露了来自世界各地的大量用户信息。该平台的IT团队对安全研究人员NoamRotem和RanLocar于年4月16日发现的AWSS3存储桶进行了错误配置。该数据库最终于年5月28日得到保护,因此敏感用户数据在大约六周的时间内可以在线访问。
6BHIM移动支付应用程序数据泄露暴露了用户信息
数百万注册了BHIM移动支付应用程序的印度公民的数据可能被滥用,因为这些数据被暴露在一个配置错误的AmazonS3存储桶中,并且没有加密。vpnMentor的研究人员最近发现,S3存储桶连接到一个网站,该网站被用来促进支付应用程序的普及并签署新的个人用户和商家。在一份报告中,vpnMentor称该存储桶为包含GB的数据,这些数据代表了万条记录,其中包含开设BHIM账户所需的信息。