苹果宣布清静更新，，，，，，，修复多个产品中的误差；；；；；；加密钱币生意所KuCoin遭攻击，，，，，，，1.5亿美元钱币被盗

首页 > 清静研究 > 清静转达 > 清静简讯

苹果宣布清静更新，，，，，，，修复多个产品中的误差；；；；；；加密钱币生意所KuCoin遭攻击，，，，，，，1.5亿美元钱币被盗

宣布时间 2020-09-27

1.苹果宣布清静更新，，，，，，，修复多个产品中的误差

苹果宣布清静更新，，，，，，，修复了macOS Catalina、High Sierra和Mojave，，，，，，，以及Windows iCloud中的多个误差。。。。此次修复的误差划分为I/O组件的越界读取误差（CVE-2020-9973），，，，，，，涉及随处置惩罚恶意的USD文件，，，，，，，可导致恣意代码执行或DoS攻击；；；；；；ImageIO中的越界读取误差（CVE-2020-9961），，，，，，，可导致恣意代码执行；；；；；；沙盒中的误差（CVE-2020-9968）可允许恶意应用程序会见受限制的文件；；；；；；WebKit中的误差（CVE-2020-9952）可允许跨站点剧本攻击；；；；；；Mail中误差（CVE-2020-9941）可使远程攻击者更改应用程序状态。。。。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/09/25/apple-releases-security-updates

2.Google宣布Chrome 85清静更新，，，，，，，修复多个误差

Google宣布Chrome 85清静更新，，，，，，，修复多个误差。。。。其中包括越界读取误差（CVE-2020-15960 ），，，，，，，扩展中的战略执行缺乏误差（CVE-2020-15961）、串行执行的战略缺乏误差（CVE-2020-15962）、扩展中的政策执行缺乏（CVE-2020-15963）、V8中的越界写误差（CVE-2020-15965）、扩展中的政策执行缺乏（CVE-2020-15966）和媒体中的数据验证缺乏误差（CVE-2020-15964）。。。。

原文链接：

https://www.securityweek.com/chrome-vulnerabilities-expose-users-attacks-malicious-extensions

3.加密钱币生意所KuCoin遭攻击，，，，，，，1.5亿美元钱币被盗

总部位于新加坡的加密钱币生意所KuCoin披露其遭到了网络攻击，，，，，，，价值1.5亿美元的钱币被盗。。。。该公司在声明中证实，，，，，，，一黑客入侵了其系统，，，，，，，并偷取了其热钱包中的所有资产，，，，，，，包括比特币、erc -20代币以及其他类型的代币。。。。凭证用户追踪被盗资金的Etherium地点，，，，，，，现在预计损失最小为1.5亿美元。。。。KuCoin体现，，，，，，，现在已经启动了清静审计，，，，，，，但其尚未返回其他谈论请求。。。。

原文链接：

https://www.zdnet.com/article/kucoin-cryptocurrency-exchange-hacked-for-150-million/

4.Twitter称因其效劳设置过失，，，，，，，用户的API密钥可能会泄露

Twitter称因其Developer门户上效劳设置过失，，，，，，，用户的API密钥可能会泄露。。。。developer.twitter.com是开发职员治理Twitter应用程序和附加API密钥的门户，，，，，，，同时也包括Twitter账户的会见令牌和密钥。。。。该网站因设置问题会向浏览器发送过失指令，，，，，，，使其建设和存储API密钥、账户会见令牌和帐户密码的副本。。。。关于使用公共或共享盘算机的开发职员来说，，，，，，，他们的API密钥很可能会被泄露。。。。

原文链接：

https://www.zdnet.com/article/twitter-warns-of-possible-api-keys-leak/

5.研究职员发明可通过浏览器登录绕过TikTok的MFA

研究职员发明可通过浏览器登录绕过TikTok的MFA。。。。在TikTok推出多因素身份验证（MFA）一个月后，，，，，，，研究职员发明该清静功效仅针对移动应用程序启用，，，，，，，而其网站则未启用。。。。因此，，，，，，，黑客可以通过其网站登录具有受害凭证的帐户来绕过MFA。。。。由于网页版的中TikTok用户可用的选项有限，，，，，，，只能上传和宣布视频，，，，，，，因此攻击者也无法通过更改用户密码以完全挟制帐户。。。。可是清静研究员Zach Edwards体现，，，，，，，攻击者可以提倡大规�；；；；；Ｚ僭硕�，，，，，，，例如圈套宣传或政治宣传等种种主题。。。。

原文链接：

https://www.zdnet.com/article/you-can-bypass-tiktoks-mfa-by-logging-in-via-a-browser/

6.NIST宣布网络清静实践指南以资助组织从网络攻击中恢复

美国国家标准手艺研究院（NIST）宣布了一份网络清静实践指南，，，，，，，以资助组织从网络攻击中恢复。。。。该指南指出，，，，，，，勒索软件攻击是现在影响企业的最具破损性的因素之一，，，，，，，虽然最理想的做法是在勒索软件攻击的早期检测出它并宣布预警信号，，，，，，，以将其影响最小化或完全阻止它。。。。但仍有许多组织被入侵，，，，，，，并需要指南来资助其从中恢复。。。。NIST的NCCoE建设相识决计划来解决这些网络清静挑战，，，，，，，并针对几个测试用例(勒索软件攻击、恶意软件攻击、用户修改设置文件、治理员修改用户文件、治理员或剧本过失地修改数据库或数据库模式)举行测试了。。。。

原文链接：

https://www.helpnetsecurity.com/2020/09/24/nist-guide-recover-ransomware/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究