摘要: 最新微软Edge浏览器远程命令执行PoC被公开近期,国外安全人员发布了一个微软Edge浏览器内存破坏漏洞的PoC。当这个PoC作用于未打补丁的机器时,可导致远程命令执行。这个漏洞主要影响基于ja vasc ript引擎Chakra的微软Edge浏览器,攻击者利...
最新微软 Edge 浏览器远程命令执行 PoC 被公开
近期,国外安全人员发布了一个微软Edge浏览器内存破坏漏洞的PoC。当这个PoC作用于未打补丁的机器时,可导致远程命令执行。这个漏洞主要影响基于ja vasc ript引擎Chakra的微软Edge浏览器,攻击者利用该漏洞能可以拥有已登录用户相同的权限,并在机器上运行任意代码。phoenhex小组的Bruno Keith表示,该漏洞对大多数版本的Window系统的影响程度已被微软标记为致命。只有版本为2019和2016版本的windows的影响程度被标记为“中等”。
参考来源:
https://nosec.org/home/detail/2118.html
伪造网络报警平台,骗子专找诈骗受害者进行二次诈骗
近日,上海警方发现,在网络搜索引擎中存在所谓的“网络报警平台”页面,是专门针对已经被骗的市民,诱使其在该平台报警继而实施“二次诈骗”。“经调查,杨浦警方认为这是针对诈骗受害人的新型电信网络诈骗。诈骗分子在网上设立假冒的“110网上报警平台”网页,并在搜索引擎上散布所谓官方“网上报警中心”的 QQ号码。一旦有人添加该QQ号码后,骗子便假冒工作人员,利用已经受骗上当的被害人急于追回钱款的心理,以帮助“拦截、冻结”被骗账户资金需要 “押金”、“保证金”为由,诱骗被害人加入名为“退款部门”的QQ群、微信群,进而“指导”被害人进行网上转账操作,骗取钱款。
参考来源:
http://tech.caijing.com.cn/20181229/4551299.shtml
MtGox 交易所失窃案结案审判:前负责人坚称无辜
据SecurityWeek 12月28日报道,倒闭的比特币交易所MtGox前负责人27日为公司破产导致损失道歉,但在其东京审判的结案陈词中坚称自己是无辜的。33岁的法国人Mark Karpeles面临的指控包括挪用公款3.4亿日元(310万美元),以及以欺诈手段操纵MtGox相关数据。其审判始于2017年7月,而东京地方法院计划于明年3月15日宣布判决。Mark Karpeles目前否认所有指控。MtGox――曾是全球最大的比特币交易平台――于2014年倒闭,此前,价值5亿美元的加密货币从其虚拟保险库中离奇失踪,目前仍不清楚失踪原因。
参考来源:
https://www.secrss.com/articles/7477
凉到国外! ofo 在新加坡被催缴 51.1 万美元物流欠款
据新加坡当地媒体TODAY报道,目前至少有两家当地公司发出信函,要求 ofo 支付他们51.1万美元的物流服务欠款。SB Express 公司律师本月已向 ofo 发出缴款通知书。此外,越来越多的当地用户也要求 ofo 退款,ofo 的 Facebook 新加坡官方页面上已经留下了170多条与退款相关的愤怒评论。由于当地交通部门对共享单车公司施加压力,去年10月开始,ofo在新加坡运营陷入巨大压力。此外ofo虽然获准继续运营,但其自行车数量被迫从2.5万辆削减至1万辆。
参考来源:
http://tech.caijing.com.cn/20181229/4551300.shtml
科威特国家银行应用 Ripple 新汇款服务
科威特国家银行(NBK)12月27日宣布,推出了一项名为“NBK Direct Remit”的新汇款服务,该服务利用Ripple技术实现了基于区块链的“即时”支付。银行发表声明称,目前该服务仅对约旦汇款通道开放,但近期有望拓展至其他国家。科威特国家银行在中国、日内瓦、伦敦、巴黎、纽约和新加坡,以及黎巴嫩,约旦,埃及,巴林,沙特阿拉伯,伊拉克,土耳其和阿联酋的部分地区均设有办事处。
参考来源:
https://www.easyaq.com/news/1215230517.shtml
DanaBot 木马瞄准欧洲银行和邮件服务商
DanaBot是一种银行木马,首次被发现是在今年5月份。从那以后,它的攻击目标就从澳大利亚的银行转向了欧洲的银行以及国际电子邮件提供商(如谷歌、微软和雅虎)。从网络安全公司F5 Labs于近日公布的数据来看,在今年11月7日至12月4日期间的DanaBot攻击目标中,有88%是世界各大银行的客户,主要是意大利,其次是波兰和德国。
参考来源:
https://www.cnbeta.com/articles/tech/792553.htm
Twitter 声称账户劫持漏洞已修复 黑客:胡扯
Twitter平台出现一个漏洞,利用漏洞黑客可以在无授权条件下通过英国名人、记者的账户发布消息。后来Twitter发声明称漏洞已经修复。不过发现漏洞的黑客却说,Twitter睁眼说瞎话,漏洞根本没有修复。黑客仍然可以继续利用名人账户发送未授权信息。媒体追问Twitter,公司回应称正在进行调查,以确保账户安全协议能够如预期一样生效。
参考来源:
https://tech.sina.com.cn/i/2018-12-29/doc-ihqfskcn2265845.shtml
关于安全帮安全帮,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。
相关文章 【安全帮】BBC拿出50万英镑寻求顶级DDoS防护;近2万台路由器泄露Wifi凭证 【安全帮】圣地亚哥联合学区遭遇网络钓鱼,泄露50万学生与员工数据 【安全帮】“入侵空军3.0”战果:发现120余个漏洞、支付赏金13万美元 【安全帮】现代汽车开发指纹识别解锁汽车,安全性较钥匙提高5倍 【安全帮】黑客利用漏洞从美国政府支付系统获利170万美元
