360安全周报第13期

2020-10-16 18:51:17
我要分享


微信扫码分享

2020年第13期360安全周报

（2020.10.10-2020.10.15）

因妒删除同学专升本志愿，被拘留10天

近日，黑龙江讷河民警接到张某报警反映称，自己参加了专升本考试，但无法查询录取情况。民警调查发现，张某事先填报的志愿遭到人为删除，密码也被篡改，舍友刘某有重大作案嫌疑。

经民警问询，刘某承认了自己删除志愿并修改密码的行为，表示此举完全是嫉妒心作祟。最终，刘某被处以拘留10日的惩罚。

招生办经核实后，对张某进行了志愿补录。目前，张某已被哈尔滨商业大学录取。

近年来，志愿篡改事件层出不穷。例如黑客破解志愿填报系统、教师为谋利益篡改学生志愿、同学因嫉妒心修改同窗志愿等等。与其被嫉妒支配闯下大祸，不如和学霸拼单组团，一起上名牌大学。

监狱视频探视软件现安全漏洞，暴露服刑人员私人通话

据外媒报道，由于担心新冠病毒的传播，美国大部分监狱仍未开放面对面探视服务，迫使服刑人员采取付费视频方式与亲友联络。

近日，安全研究员鲍勃·迪亚琴科发现，一家名为HomeWAV监狱视频探访提供商将其数据库之一的仪表板留在了互联网上。即便没有密码的情况下，所有人都可以搜索和访问服刑人员的通话记录，其中包含呼叫者的电话号码，服刑人名字以及通话时间。该数据库暴露的时间最早可追溯至今年4月份。

随后，外媒向HomeWAV报告了这个问题，他们证实了该安全漏洞并在几个小时后关闭了系统。他表示，公司将把这一事件通知囚犯、家属和律师。

Linux 内核曝严重蓝牙漏洞，影响多个版本

谷歌安全研究人员在Linux Kernel中发现了一组蓝牙漏洞（BleedingTooth），该漏洞可能允许攻击者进行零点击攻击，运行任意代码或访问敏感信息。BleedingTooth漏洞分别被命名为CVE-2020-12351，CVE-2020-12352和CVE-2020-24490。其中最严重的漏洞是基于堆的类型混淆漏洞（CVE-2020-12351），被评为高危漏洞，CVSS评分达到8.3。

据悉，漏洞存在于BlueZ中，软件栈默认情况下为Linux实现了所有蓝牙核心协议和层。除Linux笔记本电脑外，它还用于许多消费或工业物联网设备。

受害者蓝牙覆盖范围内的远程攻击者都可以通过目标设备的bd地址来利用此漏洞。攻击者能够通过发送恶意的l2cap数据包来触发漏洞，导致拒绝服务，甚至执行具有内核特权的任意代码。而此过程中无需用户交互，使得这一漏洞的隐患更大。

Barnes & Noble 遭网络攻击：消费者邮箱、购买记录被盗

据外媒报道，Barnes & Noble公司系统遭到了网络安全攻击，黑客已经获得了其客户的一些重要信息。其中包括他们的交易信息和电子邮件，客户的电子邮件账号是否会被攻破将取决于他们的电子邮件的安全强度。

此外，黑客还可能侥幸获得了账单信息，其中包括客户提供的送货地址和电话号码。需要明确指出的是，在攻击期间没有任何财务相关信息或付款细节被窃取。虽然受影响的人们可能不必担心他们的信用卡被用于未经授权的交易，但他们仍需要警惕诈骗。很显然，收到Barnes & Noble警告的客户们，请尽快更改自己的电子邮件密码并激活双因素认证(2FA)功能。

热点排行

360安全周报第13期

热点排行

关注我们