首页 > 安全钻研 > 安全传递 > 安全简讯

微软颁布最大规模周二补丁建复129个缝隙；UPnP和谈中的缝隙CallStranger，可导致数据泄露或DDoS攻击

颁布功夫 2020-06-10

1.微软颁布最大规模的周二补丁法式，共建复129个缝隙

宝运莱·(中国区)最新官方网站

微软于6月9日颁布了最大规模的星期二补丁法式，共建复了Microsoft产品中的129个缝隙。其中，Microsoft Edge和VBScript引擎中存在三个较为严沉的缝隙，别离是Microsoft浏览器内存败坏缝隙（CVE-2020-1219）、VBScript远程执行代码缝隙（CVE-2020-1216）和VBScript远程执行代码缝隙（CVE-2020-1216），这些缝隙可被利用来执行远程代码执行�；褂幸恍┙衔铣恋姆煜犊杀挥糜谕绱沟龉セ饕杂帐褂没略囟褚馕募�，别离是GDI +远程执行代码缝隙（CVE-2020-1248）、Windows OLE远程执行代码缝隙（CVE-2020-1281）、和LNK远程执行代码缝隙（CVE-2020-1299）。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2020-patch-tuesday-largest-ever-with-129-fixes/

2.UPnP和谈中的缝隙CallStranger，可导致数据泄露或DDoS攻击

宝运莱·(中国区)最新官方网站

安全工程师Yunus?adirci发此刻通用即插即用和谈（Universal Plug and Play，UPnP）中存在名为CallStranger的缝隙（CVE-2020-12695），可能导致数据泄露、DDoS攻击以及对设备内部端口的扫描。该缝隙可能会影响所有4月17日之前版本的UPnP设备，蕴含Windows 10系统、路由器、接入点、打印机、游戏机、门铃电话、媒体利用法式和设备、相机、电视机等。该缝隙是由UPnP SUBSCRIBE函数中的标头值回调引起的，攻击者能够机关一个含有体式谬误的标头值回调的TCP数据包发送到远端设备，来利用互联网上支持UPnP和谈的智能设备。

原文链接：

https://www.bleepingcomputer.com/news/security/callstranger-upnp-bug-allows-data-theft-ddos-attacks-lan-scans/

3.利用Digilocker存在缝隙，可被利用绕过身份验证

宝运莱·(中国区)最新官方网站

由印度电子和IT部门凭据其Digital India打算提供的在线服务法式Digilocker存在缝隙，该缝隙可能已经被利用绕过身份验证。安全钻研员Mohesh Mohan暗示，Digilocker的OTP职能不足授权，导致攻击者能够通过提交任何有效用户的具体信息进行OTP验证并登录，也就是说攻击者只需知路用户Aadhaar ID或有关的手机号码或用户名即可接见任何Digilocker帐户。5月10日钻研人员向CERT-In汇报了此缝隙，5月28日印度当局已将其建复。

原文链接：

https://securityaffairs.co/wordpress/104459/breaking-news/digilocker-critical-falw.html

4.本田公司遭到勒索软件SNAKE攻击，其日本和欧洲分公司受到影响

宝运莱·(中国区)最新官方网站

本田公司于本周一发现，其欧洲和日本的分公司遭到了勒索病毒SNAKE的攻击，并导致IT网络无法正常运行。该公司讲话人暗示，这次攻击并未影响日本的出产或经销商活动，也没有影响其客户。钻研人员对勒索病毒样本进行分析后发现，该勒索软件首先会试图解析mds.honda.com域，若是没有将立即退出并不加密任何文件。目前，该公司暗示在调查事务原因，并回绝泄漏更多细节。

原文链接：

https://www.bleepingcomputer.com/news/security/honda-investigates-possible-ransomware-attack-networks-impacted/

5.韩国信誉协会暗示，约90万张韩国信誉卡信息在暗网泄露

宝运莱·(中国区)最新官方网站

韩国信誉协会本周一暗示，约有90万张韩国信誉卡信息已被泄露，并在暗网上进行售卖。韩国终审法院注明，被泄露的信誉卡中约莫有41万张仍在使用中，泄漏的信息蕴含卡号、有效期和验证码、卡背面的三位数安全码，并不蕴含密码。韩国当局目前尚未弄清这些信息是若何泄漏的，信誉卡银行则暗示会将信息泄露问题通知受影响的用户，并建议他们更换新卡。

原文链接：

https://en.yna.co.kr/view/AEN20200608011200325?&web_view=true

6.加拿大公司Fitness Depot遭到Magecart攻击，用户支付信息泄露

宝运莱·(中国区)最新官方网站

加拿大活动器材公司Fitness Depot颁发，上个月公司的电商平台遭到攻击，其客户的幼我信息和支付信息泄露。这次泄露信息蕴含客户的姓名、地址、电子邮件地址、电话号码和信誉卡号。Fitness Depot暗示，该泄露事务可追忆到2020年2月18日，黑客将恶意代码注入网站，使得用户一旦被沉定向到此表单就会在不知情的情况下被复造信息。钻研人员分析，这次攻击很可能是来自黑客组织Magecart，其先入侵了该公司的电商平台，并将基于JavaScript的恶意代码注入其结帐页面，最终指标是窃取该公司客户所提交的所有付款或幼我信息。

原文链接：

https://www.bleepingcomputer.com/news/security/fitness-depot-hit-by-data-breach-after-isp-fails-to-activate-the-antivirus/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研

微软颁布最大规模周二补丁建复129个缝隙；UPnP和谈中的缝隙CallStranger，可导致数据泄露或DDoS攻击

关于宝运莱官方网站

解决规划

安全钻研

联系宝运莱官方网站

7*24幼时服务热线

软件升级

投资者关系

安全钻研

微软颁布最大规模周二补丁建复129个缝隙 ；UPnP和谈中的缝隙CallStranger ，可导致数据泄露或DDoS攻击

7*24幼时服务热线

微软颁布最大规模周二补丁建复129个缝隙；UPnP和谈中的缝隙CallStranger，可导致数据泄露或DDoS攻击