首页 > 清静研究 > 清静转达 > 清静简讯

Chrome、Edge和Safari均在天府杯中被攻破；；；；；；路易斯安那州政府遭勒索软件攻击

宣布时间 2019-11-19

1、微软宣布11月Office清静更新，，，，，修复多个误差

微软在11月Office清静更新中为7个差别的产品宣布了17个清静更新和5个累计更新，，，，，其中15个与未授权的信息会见有关。。。。。微软在17个Office清静更新中修复了6个信息泄露误差，，，，，包括CVE-2019-1442、CVE-2019-1443、CVE-2019-1446、CVE-2019-1448、CVE-2019-1402和CVE-2019-1409，，，，，受影响的产品包括Office 2010到Office 2016、Excel 2010到Excel 2016、SharePoint Server 2010到SharePoint Server 2019。。。。。另外两个误差还包括SharePoint Server 2019语言包和Office Online效劳器中的清静绕过误差（CVE-2019-1449和CVE-2019-1457）。。。。。完整误差列表请参考以下链接。。。。。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-the-november-2019-security-updates-for-office/

2、谷歌修复Gmail动态电子邮件功效中的XSS误差

凯发·k8(中国游)官方网站

谷歌修复Gmail动态电子邮件功效中的XSS误差，，，，，凭证研究职员的表述，，，，，该误差是DOM Clobbering攻击的一个典典范子。。。。。该误差保存于AMP4Email（也称为动态电子邮件）功效中，，，，，AMP4Email具有一个过滤XSS的验证系统，，，，，但研究职员发明标签中id的属性是被允许的。。。。。在AMP4Email中，，，，，id属性的某些值受到限制，，，，，可是，，，，，在AMP_MODE中若是该函数实验加载JS文件，，，，，则过失会导致404，，，，，从而在效果URL中导致“未界说”的部分。。。。。攻击者可通过将payload写入window.testLocation来控制URL。。。。。但在现真相形中AMP的内容清静战略（CSP）功效将会阻止代码获得执行。。。。。

原文链接：

https://www.zdnet.com/article/google-patches-awesome-xss-vulnerability-in-gmail/

3、印度美妆平台Nykaa API误差袒露近100万用户数据

印度美妆零售平台Nykaa Fashion已修复一个可导致近100万客户信息泄露的误差。。。。。这是一个API误差，，，，，攻击者（例如黑客或电话推销员）可使用自动化剧本获取用户数据，，，，，包括订单详细信息、邮件标识、姓名、电话号码和电子邮件地点。。。。。Nykaa首席手艺官Sanjay Suri在一份声明中体现，，，，，该公司已经解决了该问题并且没有小我私家或财务数据泄露。。。。。

原文链接：

https://economictimes.indiatimes.com/small-biz/startups/newsbuzz/nykaa-fixes-a-data-security-bug/articleshow/72101784.cms

4、Chrome、Edge和Safari均在天府杯中被攻破

凯发·k8(中国游)官方网站

在11月16日至17日成都举行的天府杯上，，，，，Edge、Chrome、Safari均被参赛者攻破，，，，，其它被攻破的产品还包括Office 365、iOS、小米、Vivo、VirtualBox、友讯科技的路由器、Adobe PDF 和 VMWare Workstation等。。。。。这次大赛上共有23支步队参赛，，，，，赛制类似于Pwn2Own，，，，，共设置了100万美元奖金池。。。。。在这次为期两天的角逐中，，，，，共有20次攻击实验获得乐成，，，，，参赛者一共赢得了54.5万美元的奖金。。。。。

原文链接：
https://www.zdnet.com/article/chrome-edge-safari-hacked-at-elite-chinese-hacking-contest/

5、新垂纶活动主要针对Microsoft Office治理员

凯发·k8(中国游)官方网站

PhishLabs发明一个针对Microsoft Office 365治理员的网络垂纶活动。。。。。该活动始于垂纶邮件，，，，，邮件伪装成来自Microsoft，，，，，并在顶部显示Office 365的logo，，，，，但它来自不属于Microsoft的经由验证的域。。。。。若是收件人点击了邮件中的链接，，，，，则会被重定向到虚伪的Office 365登录页面。。。。。攻击者专门针对治理员的凭证，，，，，通过入侵治理员账户，，，，，他们可以潜在地控制与给定域关联的其他电子邮件帐户，，，，，还可以使用治理员帐户的权限来建设其他帐户，，，，，举行更多恶意攻击。。。。。

原文链接：
https://www.tripwire.com/state-of-security/security-data-protection/phishers-targeting-microsoft-office-365-admin-credentials/

6、路易斯安那州政府遭勒索软件攻击导致停摆

凯发·k8(中国游)官方网站

11月18日路易斯安那州政府遭到勒索软件攻击，，，，，包括车辆治理办公室、卫生部、运输与生长部在内的多个州部分已停摆。。。。。该攻击是在11点报告的，，，，，此前该州已强制关闭了由该州运营的众多网站及电子邮件效劳。。。。。据外地媒体报道，，，，，该州的多个效劳机构都受到滋扰，，，，，包括79个无邪车办公室。。。。。州长John Bel Edwards体现他已激生路易斯安那州的网络清静团队来协调此次攻击造成的破损。。。。。现在尚不清晰该攻击事务中勒索软件的类型。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/louisiana-government-suffers-outage-due-to-ransomware-attack/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

凯发k8

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯发k8

清静研究

Chrome、Edge和Safari均在天府杯中被攻破；；；；；；路易斯安那州政府遭勒索软件攻击

关于凯发k8

解决计划

清静研究

联系凯发k8

7*24小时效劳热线

软件升级

投资者关系

清静研究

Chrome、Edge和Safari均在天府杯中被攻破；；；；；；路易斯安那州政府遭勒索软件攻击

7*24小时效劳热线

Chrome、Edge和Safari均在天府杯中被攻破；；；；；；路易斯安那州政府遭勒索软件攻击