英國軟體公司Snyk的安全專家發現了壓縮文檔中存在的一個嚴重的任意文件覆蓋漏洞「Zip Slip」。攻擊者通過特定壓縮文檔,結合目錄遍歷漏洞促發「Zip Slip」漏洞,也就是說攻擊者可以把壓縮文件內含的文件解壓縮到指定的目錄,比如覆蓋一個可執行文件後通過遠程、系統或用戶調用的方式來運行,從而達到對目標系統遠程控制目的。
「Zip Slip」漏洞的影響很廣,涵蓋了惠普、亞馬遜、Apache以及Pivotal等企業的數千個項目。此外,.tar、.jar、.war、.cpio、.apk、.rar和.7z等壓縮文檔格式也受該漏洞影響。
目前,安全專家已發布「Zip Sip」的POC代碼,並向受影響機構和項目維護人員報告該漏洞。
MyHeritage網站9200多萬用戶數據遭泄露
MyHeritage
公司4日在其官網上發文稱,攻擊者利用其網站存在的漏洞竊取了9200多萬用戶個人信息檔案。
MyHeritage指出,泄漏的檔案僅包含電子郵件和密碼散列值,不包含支付卡細節和DNA測試結果。目前,尚不清楚此次數據泄露事件是黑客攻擊還是惡意僱員出售公司數據造成。
MyHeritage允許用戶製作家譜、搜索歷史記錄並尋找潛在的親人。該公司2003年創辦於以色列,2016年推出了MyHeritageDNA,用戶只要發送一份唾液樣本即可進行基因檢測。該網站目前擁有9600多萬用戶,其中有140萬曾經接受過基因檢測。
超11.5萬Drupal網站仍受Drupalgeddon2漏洞影響
近期,安全研究員
Troy Mursch對互聯網上運行的所有Drupal 7.x CMS站點進行掃描,結果發現,至少仍有11.5萬個網站沒有及時更新漏洞補丁,還在運行Drupal 7.x CMS舊版本,這些網站將會非常危險,隨時可能遭受Drupalgeddon 2(CVE-2018-7600)漏洞攻擊。
今年3月,Drupal開發人員Jasper Mattsson發現了一個「非常關鍵」的漏洞,被跟蹤為CVE-2018-7600,又名drupalgeddon2,影響Drupal 7和8版本。
Continental公司工作電話禁用WhatsApp和Snapchat
德國最大的汽車零部件製造商Continental已經禁止公司員工在工作電話中使用WhatsApp和Snapchat通信軟體,理由是兩款應用程序在安裝使用時,會強制用戶允許某些訪問許可權,比如通信錄訪問許可權等。出於數據隱私保護的考慮,以及遵照歐盟GDPR條例合規性審查的要求,Continental公司頒布了該項禁令。
目前,尚不清楚Continental製造商是否會禁止類似的APP應用。但該公司表示,如果WhatsApp和Snapchat能更改其APP應用設置使得符合GDPR標準,公司將會解除該禁令。
總部位於澳大利亞的人力資源公司PageUp證實,上個月其IT基礎架構發現了「異常」的活動,惡意軟體感染導致客戶數據可能已經被泄露。
PageUp在聲明中稱,如果數據泄露,則可能包括姓名、聯繫方式等信息,還可能包括識別和身份驗證數據,例如用戶名和加密的密碼。
PageUp表示,沒有證據表明仍然存在活躍的威脅,文件存儲基礎設施也未被破壞。就業網站可以繼續使用。出於謹慎的考慮,建議用戶更改密碼。
GIF
本文內容由國外媒體發布,不代表聚鋒實驗室立場和觀點。
喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!
本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧! 請您繼續閱讀更多來自 聚鋒實驗室 的精彩文章:
※頭條:Saks,Lord&Taylor數據泄露影響500萬支付卡
※頭條:ManageEngine應用程序存嚴重漏洞
TAG:聚鋒實驗室 |