Discord建复其桌面利用中可导致远程代码执行的缝隙；；；；；；；；Talos披露F2FS工具集中存在代码执行和信息泄露缝隙

首页 > 安全钻研 > 安全传递 > 安全简讯

Discord建复其桌面利用中可导致远程代码执行的缝隙；；；；；；；；Talos披露F2FS工具集中存在代码执行和信息泄露缝隙

颁布功夫 2020-10-20

1.Discord建复其桌面利用中可导致远程代码执行的缝隙

Discord已建复桌面版利用法式中的一个关键缝隙，，，，，，，可导致远程代码执行（RCE）攻击。。。。。。。该缝隙存在于Discon桌面利用法式使用的软件框架Electron中，，，，，，，其contextIsolation被设置为false，，，，，，，这允许利用法式表部的JavaScript代码影响内部代码，，，，，，，例如web页面表部的JavaScript代码使用node.js职能。。。。。。。该缝隙被追踪为CVE-2020-15174，，，，，，，与其他两个缝隙结合利用可绕过导航限度并使用iframe XSS缝隙接见蕴含恶意代码的网页来执行RCE攻击。。。。。。。

原文链接：

https://www.zdnet.com/article/discord-desktop-app-vulnerable-to-remote-code-execution-bug/

2.Talos披露F2FS工具集中存在代码执行和信息泄露缝隙

思科Talos发现F2FS工具集中存在多个代码执行和信息泄露缝隙。。。。。。。F2FS是在嵌入式设备中常见的文件系统工具集，，，，，，，可创建、验证和建复Flash-Friendly File System文件。。。。。。。这次披露的缝隙为F2fs-Tools F2fs.Fsck文件系统查抄信息泄露缝隙（CVE-2020-6104）、F2fs-Tools F2fs.Fsck多个设备代码执行缝隙（CVE-2020-6105）、F2fs-Tools F2fs.Fsck init_node_manager信息泄露缝隙（CVE-2020-6106）、F2fs-Tools F2fs.Fsck dev_read信息泄露缝隙（CVE-2020-6107）和F2fs-Tools F2fs.Fsck多个设备代码执行缝隙（CVE-2020-6108）。。。。。。。

原文链接：

https://blog.talosintelligence.com/2020/10/vuln-spotlight-f2fs-tools-.html

3.黑客宣称已入侵5万台家用摄像头并在暗网公开部门录像

一个黑客组织宣称其已入侵5万台家用摄像头，，，，，，，并在成人网站上颁布部门录像。。。。。。。泄露的大部门视坡反自新加坡，，，，，，，此表还涉及到来自泰国、韩国和加拿大。。。。。。。据The New Paper报路，，，，，，，现已有70多名成员支付了150美元的订阅费，，，，，，，共享了超过3 TB的剪辑视频。。。。。。。目前仍不明显黑客若何粉碎IP摄像机，，，，，，，其可能利用了设备中缝隙，，，，，，，或者只是通过猜测弱密码。。。。。。。

原文链接：

https://securityaffairs.co/wordpress/109671/hacking/50000-home-cameras-hacked.html

4.伊朗遭到大规模网络攻击，，，，，，，两个沉要机构受到影响

伊朗当局IT部门汇报其遭到大规模网络攻击，，，，，，，两个沉要机构受到影响。。。。。。。据一家新闻社汇报，，，，，，，攻击事务已败坏伊朗港口的电子基础设施。。。。。。。美国电台Radio Farda暗示，，，，，，，这次攻击的指标很可能是伊朗的港口、银行和海事组织，，，，，，，但该新闻尚未得到证实。。。。。。。伊朗当局IT部门讲话人Abolghasem Sadeghi暗示，，，，，，，这次攻击导致多个当局机构临时终场互联网服务，，，，，，，以预防进一步的粉碎。。。。。。。除此之表，，，，，，，伊朗当局并未提供关于该事务的更多细节。。。。。。。

原文链接：

https://www.ehackingnews.com/2020/10/iran-suffers-largescale-cyberattacks.html

5.黑客以Coinbase为钓饵通过OAuth利用提议垂钓攻击

黑客以Coinbase主题为钓饵，，，，，，，通过OAuth利用提议新一轮垂钓攻击。。。。。。。该垂钓邮件假装为新服务条款，，，，，，，Coinbase用户必须阅读并接受能力持续使用该服务。。。。。。。当用户点击阅读并接受链接时，，，，，，，将被沉定向到合法的Microsoft网站来登录其帐户。。。。。。。成功登录后系统会提醒是否允许coinbaseterms的利用法式接见他们的账户。。。。。。。一旦用户点击是，，，，，，，黑客将占有读取帐户配置文件及其电子邮件的齐全接见权限。。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/coinbase-phishing-hijacks-microsoft-365-accounts-via-oauth-app/

6.Devolutions颁布2020年中幼型企业网络安全情况汇报

Devolutions颁布2020年中幼型企业网络安全情况汇报。。。。。。。为了更深刻地相识中幼型企业对网络安全的观点，，，，，，，Devolutions对来自IT、医疗保健、教育和金融等各个行业的182个中幼型企业进行了调查。。。。。。。调查发现，，，，，，，62％的中幼企业每年至少进行一次安全审核，，，，，，，14％的中幼企业从不进行审核；；；；；；；；57％的中幼型企业暗示在从前三年中遭逢了网络垂钓攻击；；；；；；；；47％的企业允许终端用户在幼我和专业帐户中沉复使用密码。。。。。。。

原文链接：

https://www.helpnetsecurity.com/2020/10/15/smbs-size-doesnt-make-them-immune-to-cyberattacks/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研