Linux 曝出 TCP 拒绝服务漏洞
Netflix 工程师在 Linux 和 FreeBSD 内核中 发现了多个 TCP 网络漏洞 。漏洞与最小分段大小( MSS )和 TCP Selective Acknowledgement ( SACK )有关,其中最严重的漏洞绰号为 SACK Panic ,允许远程对 Linux 内核触发内核崩溃。 SACK Panic 漏洞编号 CVE-2019-11477 ,影响 2.6.29 以上版本,漏洞补丁已经发布,一个权宜的修复方法是将 /proc/sys/net/ipv4/tcp_sack 设为 0 。
参考来源:
https://www.solidot.org/story?sid=61023
CBP 分包商出现重大数据泄露事件 至少 5 万名美国车牌信息在暗网出售
援引美国有线电视新闻网( CNN )报道,美国海关和边境保护局( CBP )所雇佣的分包商 Perceptics 出现重大数据泄露事件,在对已经泄露的数据分析后发现至少有 5 万名美国车牌号码数据在暗网上被销售。更为重要的是, CBP 向 CNN 透露从未向该公司授权保留这些车主信息。在特定情况下, CBP 承包商有权访问美国人的车牌图像以调整他们的系统,例如当州颁布新的车牌设计并且系统需要校准它时。但这些时期很短暂。
参考来源:
https://www.cnbeta.com/articles/tech/858347.htm
平安保险利用 AI 鉴定客户
中国最大的保险公司平安保险开始使用人工智能识别不值得信任和无利可图的客户。通过面部识别软件去搜索脸上的“微表情”,判断他们是否可信是否可以投保,以及确定服务条款。软件还会测量人的 BMI 和福利去确定健康保险费。目前, AI 或算法的可靠性仍旧令人质疑,但这种 AI 应用有可能会推广到更多国家。
参考来源:
https://www.freebuf.com/news/206098.html
工信部公开征求对《网络安全漏洞管理规定(征求意见稿)》的意见
为贯彻落实《中华人民共和国网络安全法》,加强网络安全漏洞管理,工业和信息化部会同有关部门起草了《网络安全漏洞管理规定(征求意见稿)》(见附件),拟以规范性文件形式印发,现面向社会公开征求意见。如有意见或建议,请于 2019 年 7 月 18 日前反馈。联系电话: 010-66022093 。
参考来源:
https://nosec.org/home/detail/2715.html
Firefox 修复正被利用的 0day 漏洞
Mozilla 释出了 Firefox 67.0.3 和 Firefox ESR 60.7.1 ,修复了正被利用的 0day 漏洞。 Google Project Zero 安全团队的 Samuel Groß 和 Coinbase 安全团队发现了编号为 CVE-2019-11707 的漏洞,问题位于 Array.pop 中,属于类型混淆漏洞,能通过操纵 JavaScript 对象发生,能造成可利用的崩溃。 Mozilla 称攻击者正在利用这个漏洞。 Firefox 0day 漏洞 比较罕见 ,上一次修复 0day 漏洞是在 2016 年 12 月。
参考来源:
https://www.solidot.org/story?sid=61040
谷歌日历出现故障,持续数小时后才恢复
谷歌日历( Google Calendar )出现故障。部分用户称,谷歌日历页面出现提示错误信息。在服务中断数小时之后谷歌终于让谷歌日历恢复正常,谷歌通过 G Suite 账户在推特上持续发布该事件的动态,并表示将继续努力改进系统可靠性。
参考来源:
AV-TEST 公布 macOS Mojave 下安全软件表现最新排名
反病毒研究公司 AV-TEST 进行了一项新的研究,以确定最佳的 macOS Mojave 下运行的安全软件,本次测试重点关注恶意软件检测,性能和误报。只有三个 macOS 安全应用程序获得了 18 分的最高分,即 BitDefender Antivirus for Mac 7.2 ,趋势科技防病毒 9.0 和 VIPRE 高级安全 11.0 。另一方面,来自其他顶级安全厂商的解决方案,包括诺顿, Avast , AVG 和卡巴斯基,最终得分为 17.5 分,它们均在三场测试中的一场中输掉了 0.5 分。
参考来源:
https://www.cnbeta.com/articles/tech/858571.htm
多家交易所遭邮件钓鱼攻击,价值超 40 万美元的 BTC 或失窃
据慢雾科技消息,近日,多家数字货币交易所向慢雾安全团队反映,其收到了敲诈勒索信息。敲诈者向交易所发送邮件或 Telegram 消息称,交易所存在漏洞,一旦被攻击,将导致平台无法被打开。若要获取漏洞报告,需向指定的地址支付 BTC 。然而,多家交易所表示其支付 BTC 后,对方只发送了初步的漏洞报告或没有回应。截至发稿,据不完全统计,敲诈者的 Telegram ID 有 @zed1331 、 @bbz12 、 @samzzcyber ,邮箱有 [email protected] , BTC 地址有 3GQQt2zJnPAWvirym7pbwvNTeM5igGuKxy ,该地址入账约 43.45 个 BTC (约 40.41 万美元)。
参考来源:
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 【漏洞分析】lighttpd域处理拒绝服务漏洞环境从复现到分析
- Axessh 4.2拒绝服务漏洞
- Wireshark 拒绝服务漏洞(CVE-2017-6014)
- [CVE-2013-3299]RealPlayer拒绝服务漏洞
- ModSecurity 拒绝服务漏洞 (CVE-2019-19886) 复现
- K8S新安全漏洞的应对之策:API Server拒绝服务漏洞
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。