安全D头条 第3期 | 8.19-8.23安全热点

CNVD漏洞数量

本周新增漏洞数量：267个

本周高危漏洞数量：48个

CNVD：https://www.cnvd.org.cn

安全热点

黑客成功越狱当前版本的iOS 12.4 

 数以百万计的iPhone用户容易被黑客攻击

安全研究人员利用苹果公司已经修复的未修补漏洞成功破解了最新版本的iOS 12.4，该漏洞创建了一种简单的方法来破解任何易受攻击的iPhone和iPad。

苹果不小心解开了在7月份发布的最后一次苹果安全更新中已经修补的漏洞，谷歌安全专家报告了这个漏洞。

详情链接：https://z.didi.cn/3c9z6

勒索病毒新姿势

伪装SpyHunter安全软件

近日，国外安全研究人员曝光了一款伪装成安全软件SpyHunter的勒索病毒，其开发人员使用了SpyHunter的标识作为勒索软件的图标，同时将文件命名为“SpyHunters.exe”，通过钓鱼邮件附件进行传播，并在勒索文本中写道“Our company SpyHunter is guaranteed to decrypt your files.Creating and removing viruses is our vocation”。

详情链接：https://z.didi.cn/3viRo

DEFCON 2019上安全研究人员发现在Linux, Unix

服务器的程序中存在2018年就植入的后门

在def con 2019安全会议期间，研究人员偶然发现了恶意代码。令人不安的是，当一个名为Webmin的Unix管理工具报告了一个关键的零天漏洞时，发现该漏洞并非意外。根据研究人员的说法，这个漏洞是一个秘密的后门，在它被发现的近一年前就已经被广泛应用。

详情链接：https://z.didi.cn/32qwq

dotCMS 5.1.5

从H2 SQL注入升级到远程代码执行

在这个文章中，展示如何利用在流行的基于Java的内容管理系统中的RIP代码分析发现的SQL注入漏洞，以及我们如何将其升级到远程执行代码。

详情链接：https://z.didi.cn/3P5AX

利用差分错误分析（DFA）

攻击的方式还原 AES Key 

本教程将向您介绍差分故障分析（DFA）攻击，她将向您展示如何配置目标进行AES加密，处理加密操作，在计算密文中引入错误，最后如何处理这些有问题的密文来提取AES密钥，这也可以成为攻击其他目标的方法。

详情链接：https://z.didi.cn/3ctAW

本周安全热点由

滴滴出行安全蓝军协助提供

滴滴出行安全蓝军专注前沿攻防技术研究、实战演练、企业安全评估,采用攻击视角对企业网络、应用环境展开实战演习,检测安全防护的充分性与有效性

DSRC文章征集

“安全D头条”第二季开始

我们对外征集技术类文章啦~

你有文字

我有平台

↓

↓

↓

请看征文详情

————— End —————

    关于漏洞    

滴滴出行相关漏洞请提交至

https://sec.didichuxing.com/