火绒安全周报:英特尔被曝漏洞Zombieload2 jQuery 跨站脚本漏洞影响大量网站
1、Zombieload v2 漏洞影响英特尔 Cascade Lake
今年 5 月,安全研究人员公开了英特尔处理器的漏洞 ZombieLoad,攻击影响 2011 年之后发布的几乎所有英特尔处理器。现在Zombieload 漏洞的新变种 v2出现, 能影响最近发布的英特尔处理器,其中包括 Cascade Lake。英特尔正在释出处理器的微码更新去修复最新的漏洞。Zombieload 漏洞与之前披露的 Meltdown、Spectre 和 Foreshadow 漏洞类似,都是利用预测执行,去实现跨线程、权限边界和超线程的数据泄露。
原出处:solidot
原文链接:https://www.solidot.org/story?sid=62586
2、jQuery 跨站脚本漏洞影响大量网站
近日,Snyk 发布了 2019 年度的 JavaScript 框架安全状况报告,除了最流行的 JS 框架 Angular 和 React 外,报告还观察了其它三个流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的安全漏洞。
jQuery 被发现了 6 个影响所有版本的安全漏洞,4 个是中等危险级别的跨站脚本漏洞,1 个是中危 Prototype Pollution 漏洞,还有一个是低危拒绝服务漏洞。jQuery 3.4.0 以上版本不受漏洞影响。
报告显示,在过去 12 个月中,jQuery 的下载次数超过 1.2 亿次,相当于 Vue.js(4000 万次)和 Bootstrap(7900 万次)加起来的下载次数。
原出处:cnbeta
原文链接:https://www.cnbeta.com/articles/tech/909127.htm
3、托管提供商 SmarterASP.NET 承认遭到勒索软件攻击 客户数据被加密
SmarterASP.NET是一家拥有超过44万客户的知名ASP.NET托管提供商。昨日该公司发布公告称,遭到勒索软件的攻击,这也是2019年遭到攻击而下线的第三家大型网络托管公司,黑客不仅破坏了该公司的托管业务而且还对客户服务器上的数据进行了加密。
SmarterASP.NET官方表示正在努力恢复客户数据,但尚不清楚该公司是支付了赎金,还是从备份中进行了恢复。目前该公司并没有回复外媒的评论请求。
原出处:hackernews
原文链接:http://hackernews.cc/archives/28221
4、墨西哥国有石油公司 Pemex 遭遇勒索病毒
近日,墨西哥国有石油公司系统感染了勒索病毒。黑客向Pemex提出的金额为565 比特币,此外还表示:“我们还收集了所有的私人敏感数据。如果你拒绝付款,我们会将这些数据传播给其他人,这可能会损害您的商誉。”Pemex声称它迅速解决了此事件,同时强调其运营和生产系统没有受到影响。
原出处:hackernews
原文链接:http://hackernews.cc/archives/28241