漏洞预警

Drupal于17日发布安全更新SA-CORE-2018-006,修复了5个安全漏洞,其中2个为RCE漏洞。该补丁适用版本为7.x与8.x。其中两个高危漏洞均为RCE漏洞。
近期360代码卫士团队安全研究员发现Oracle公司旗下产品Oracle WebLogic Server的多个高危安全漏洞(CVE-2018-3245、CVE-2018-3248、CVE-2018-3249、CVE-2018-3252),并第一时间向Oracle公司报告协助其修复漏洞。
libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。攻击者可以在没有任何凭据的情况下成功进行身份验证。 进而可以进行一些恶意操作。
10 月 9号,Tavis Ormandy 通过公开邮件列表(hxxps://bugs.chromium[.]org/p/project-zero/issues/detail?id=1682) ,再次指出 ghostscript 的安全沙箱可以被绕过,通过构造恶意的图片内容,可造成任意文件读写。
2018年9月中旬,外网发布西部数码MyCloud个人NAS(网络存储器)漏洞。该漏洞存在身份验证绕过漏洞,未经身份验证的攻击者可利用此漏洞以管理员用户身份进行身份验证,而无需提供密码,从而可以完全控制My Cloud设备。
微软在昨日例行更新中发布了10月份的安全补丁,修复了49个安全漏洞。其中CVE-2018-8453漏洞在近日被APT组织FruityArmor用于攻击活动中,上月ZDI披露的CVE-2018-8423漏洞也被修复。
2018年9月20日 Zero Day Initiative(ZDI)团队已公开披露了Microsoft JET数据库引擎中的一个严重的远程执行代码漏洞。
英特尔公布:在英特尔 CSME,英特尔服务器平台服务和英特尔可信执行引擎固件中潜在的安全漏洞会允许信息泄漏,英特尔正在发布英特尔 CSME,英特尔服务器平台服务和英特尔可信执行引擎更新,以缓解此潜在漏洞。
微软在昨日例行更新中发布了9月份的安全补丁,修复了61个安全漏洞。其中有17个漏洞为关键漏洞,有四个漏洞有被利用的风险,其中一个漏洞已经观测到被大量利用。
今年 5 月 15 日傍晚盘古团队披露了 ZipperDown 漏洞,我们连夜为这个漏洞编写了补丁,并在 16 日上午向官方的代码库提交了 Pull Request。