本周,苹果发布 iOS 13 和 macOS Catalina 10.15 的安全更新,解决了约40个漏洞,其中包括同时影响这两款操作系统的问题。MacOS Catalina 10.15.1共修复33个漏洞,它们可被用于获取信息、绕过身份验证、以提升权限执行任意代码、渗透数据、提升权限或者发动 DoS 攻击。iOS 13.2 和 iPadOS 13.2 共修复28个漏洞,它们可导致以提升权限执行任意代码、数据渗透、内存泄漏、身份验证绕过、强制用户连接恶意 WiFi、秘密记录设备屏幕、实施跨站点脚本攻击、用户界面欺骗以及获取用户信息。值得注意的是,大约十几个漏洞同时影响 iOS 和 macOS 系统,其中一些问题影响的组件包括 Accounts、App Store、AssociatedDomains、Audio、Books、Contacts、File System Events、Graphics Driver和内核。另外,苹果还修复了 watchOS、Safari 和 tvOS 中的多个漏洞问题。watchOS 和 tvOS 基于 iOS,而 Safari 和 iOS 共享 WebKit 浏览器引擎,因此这些漏洞很可能和 iOS 中修复的漏洞是相同的。全球首个域名注册商 Network Solutions数据遭泄露
全球首个域名注册商Network Solutions 披露称2019年8月曾遭数据泄露事件,导致第三方能够在无需授权的情况下渗透该公司的某些计算系统,而且可能访问某些客户的个人可识别信息。2011年,该注册商被Web.com 收购,主要提供“可靠的网站服务如域名、托管、安全、专业的邮件服务等”。Network Solutions 在一份公告中表示,公司于2019年10月16日发现泄漏事件,但并信用卡信息并未遭攻陷。除了通知所有受影响客户外,Network Solutions 要求客户在再次登录时重置密码以防万一。暗网出现全球财富500强公司的2100万份登录凭证
暗网多处出现超过2100万份(21,040,296份)盗自财富五百强公司的登录凭证,其中很多凭证已遭破解并且是明文形式。这些信息是通过爬取多种资源编译的,包括 Tor 网络、web 论坛、Pastebin、IRC 信道、社交媒体和通讯应用聊天记录。这些被盗凭证多数属于技术公司,金融机构紧随其后。另外,医疗、能源、电信、零售、工业、交通、航空和国防行业内公司凭证也在其中。不过并非所有被盗凭证都是新出现的凭证。ImmuniWeb 公司报告称16,055,871份凭证是在过去12个月中被盗取的。不过“95%的凭证是未加密的,或者可以遭暴力破解或者是明文密码”。另外只有490万份凭证是唯一的,“说明很多用户仍然在使用相同或类似的密码”。而最令人搞笑的是,”password”及其变体是这些凭证中最常用的前五大密码之一。密码最薄弱的是零售行业,几乎一半的密码均不足8个字符长,而且可以从常见字典中找到。不过其它行业也没好到哪里去。报告中提到的前十大行业中的多数企业设置的密码可在数秒至内被破解。
https://www.bleepingcomputer.com/news/security/worlds-first-domain-registrar-network-solutions-discloses-breach/
https://www.bleepingcomputer.com/news/security/21-million-logins-for-top-500-firms-offered-on-the-dark-web/
https://www.securityweek.com/apple-patches-tens-vulnerabilities-macos-catalina-ios-13
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。