FreeBuf 周报 | 网易云音乐崩上热搜;丰田再发数据泄露事件
2024-8-23 16:43:11 Author: www.freebuf.com(查看原文) 阅读量:4 收藏

各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!

热点资讯

1. 网易云音乐崩上热搜,又传员工删库跑路

8月19日下午,不少网友在社交平台上反映网易云音乐“崩了”。有网友称,“一直显示加载失败、播放失败、网络错误,电脑端、手机端、WiFi、流量都不行”“重启也不行,一度以为手机坏了”。

2. WPS Office两个严重漏洞曝光,已被武器化且在野利用

WPS Office作为一款用户基数超过2亿的广泛使用的办公套件,被发现存在两个关键漏洞(CVE-2024-7262和CVE-2024-7263),这些漏洞可能导致用户遭受远程代码执行攻击。

3. WPS突然崩了,补偿15天会员

8月21日,据多名WPS用户反映软件使用出现问题,包括在线文档打不开、文件链接无效、无法连接到服务器等情况,时隔两个月,「WPS崩了」再次登上微博热搜。

4. 为逃避赡养子女义务,美国一男子黑进系统让自己”去世“

为了逃避赡养子女 , 来自美国肯塔基州的39岁男子Jesse Kipf(杰西·基普夫)使用被盗的凭证侵入夏威夷死亡登记系统,将自己的信息更改为已经去世。

5. NGate安卓恶意软件可利用 NFC 窃取 ATM 内资金

近日,ESET 的研究人员发现了一款名为 NGate 的恶意软件,它可以通过恶意应用程序将受害者支付卡上的数据传输到攻击者已root的安卓手机上。

安全事件

1. Litespeed 曝出高速缓存漏洞,数百万 WordPress 网站面临安全威胁

近日,有研究人员在插件的用户模拟功能中发现了未经身份验证的权限升级漏洞 (CVE-2024-28000),该漏洞是由 LiteSpeed Cache 6.3.0.1 及以下版本中的弱散列检查引起的。这个漏洞可能会让攻击者在创建恶意管理员账户后接管数百万个网站。

2. 因配置错误,智利超半数个人数据被暴露

Cybernews研究人员发现,智利最大的社会保障基金机构Caja Los Andes因一次数据泄露,导致1000万用户的数据遭到暴露,其数量超过了该国人口的一半。

3. 丰田再发数据泄露事件,涉及240GB员工和客户信息

一名黑客在论坛上发帖称自己从丰田美国分公司窃取的240GB数据,丰田官方随后表示这一情况属实。根据这名黑客的描述,这些数据不仅涉及丰田员工和客户的信息,还包括合同和财务信息,并通过AD-Recon搜集了更多类型的数据。

4. 黑客利用 Xeon Sender 发起大规模短信钓鱼攻击

恶意行为者正在使用一种名为 Xeon Sender 的云攻击工具,通过滥用合法服务大规模开展短信钓鱼和垃圾邮件活动。

5. 适用于macOS的多个微软应用程序发现库注入漏洞,用户数据安全受威胁

根据 Cisco Talos 的最新研究,macOS 上的8个微软应用程序容易受到库注入攻击,有可能让攻击者劫持应用程序的权限并泄露敏感数据。

一周好文共读

1. 企业安全 | 欺骗的艺术案例实践

在网络安全中,“绝对安全”是不现实的,尤其是在面对不断进化的攻击手段时。因此,延缓攻击者的行动,为安全运营人员争取足够的响应时间,是网络安全建设的重要目标。充分融合“网络”和“安全”能力,将安全能力融合进网络,充分发挥网络优势,以“灰度”发布为思想借鉴,一个通用入口进入,“好人”走正常大道,“坏人”走经过设计的非正常大道,真正实现网安融合。 【阅读全文

1719383456_667bb5a05000ee7693c04.png

2. 技战法 | 威胁情报驱动应急响应

威胁情报已经被大多数人接受了,随着微步社区的发展,威胁情报成为了攻防演练的"标配"了。但是知其然,不知其所以然;威胁情报在蓝队体系的建设并不是所谓的监控与研判的辅助工具,情报的作用可大可小。情报驱动与事件驱动相比,更加方便企业的信息安全建设。【阅读全文

1

3. 技战法|安全模型提升防御效果

在企业网络安全建设中,网络安全模型提供了系统化的框架和标准化的指导,帮助企业识别和评估风险、制定有效的安全策略、确保合规性、应对新兴威胁并提升响应能力,从而构建一个全面且持续改进的安全体系。 【阅读全文

1719198198_6678e1f6016c872e387dd.png!small?1719198198682

省心工具

1. 如何使用thief_raccoon提升安全意识并了解2FA和密码的重要性

thief_raccoon是一款专为教育目的而设计的工具,用于演示如何在各种操作系统上进行网络钓鱼攻击测试。该工具旨在提高人们对网络安全威胁的认识,并帮助用户了解 2FA 和密码管理等安全措施的重要性。 【阅读全文

1719564735_667e79bfbf809fcd7dcff.png!small

2. GraphGenie:一款针对图形数据库引擎的安全检测工具

GraphGenie是一款针对图形数据库引擎的安全检测工具,该工具可以通过改变图形查询模式来检测图形数据库引擎中的逻辑错误。 【阅读全文

1719567578_667e84da15a4003f28931.jpg!small

3. Dumpy:一款针对LSASS数据的动态内存取证工具

Dumpy是一款针对LSASS数据的动态内存取证工具,该工具专为红队和蓝队研究人员设计,支持重新使用打开的句柄来动态转储 LSASS。 【阅读全文


文章来源: https://www.freebuf.com/news/409340.html
如有侵权请联系:admin#unsafe.sh