Intel带外更新修复可绕过CPU清静界线的Reptar误差

首页 > 清静研究 > 清静转达 > 清静简讯

Intel带外更新修复可绕过CPU清静界线的Reptar误差

宣布时间 2023-11-16

1、Intel带外更新修复可绕过CPU清静界线的Reptar误差

据11月15日报道，Intel修复了一个影响其台式机、移动装备和服务器CPU的误差（CVE-2023-23583）。它源于处置惩罚器怎样诠释冗余前缀的问题，可用来提升权限、获取敏感信息的会见权限或触发拒绝服务状态。Google发明并披露了该误差的细节，他们将其命名为Reptar，并透露乐成使用还可能绕过CPU的清静界线。英特尔建议尽快更新受影响的处置惩罚器，OSV也可尽快提供包括此新微码的更新。

https://thehackernews.com/2023/11/reptar-new-intel-cpu-vulnerability.html

2、三星电子再次爆发数据泄露，主要影响英国的客户

据媒体11月15日报道，三星电子向部分客户转达了一起数据泄露事务。11月13日，三星发明了此次数据泄露事务，并确定这是黑客使用该公司的第三方应用程序中的误差导致的，可是未提供攻击细节。该公司体现，此次事务仅影响了在2019年7月1日至2020年6月30日时代，从三星英国的在线市肆购物的客户。这是三星在两年内遭到的第三次数据泄露。

https://www.bleepingcomputer.com/news/security/samsung-hit-by-new-data-breach-impacting-uk-store-customers/

3、美国B2B药房平台Truepill泄露230万用户的信息

媒体11月14日称，美国药店供应商Truepill泄露了2364359人的信息。Truepill是一个专注于B2B的药房平台，使用API为美国50个州的医疗保健机构提供订单执行和交付服务。该公司于8月31日发明未经授权的会见，视察显示攻击者在前一天获得了会见权限。该公司可能面临执法效果，天下各地都在准备多起整体诉讼。详细来说，它未对其服务器上存储的敏感医疗信息举行加密，延迟通知消耗者，以及通知的内容过于迷糊。

https://www.bleepingcomputer.com/news/security/pharmacy-provider-truepill-data-breach-hits-23-million-customers/

4、VMware披露新的身份验证绕过误差CVE-2023-34060

11月15日报道称，VMware披露了其Cloud Director Appliance中一个严重的身份验证绕过误差（CVE-2023-34060）。拥有装备网络会见权限的攻击者，可在通过端口22（ssh）或端口5480（装备治理控制台）举行身份验证时绕过登录限制。在端口443（VCD提供商和租户登录）和新装置的Cloud Director Appliance 10.5上不保存此绕过问题。虽然VMware尚未针对这一误差宣布补丁，但该公司提供了暂时解决要领。

https://securityaffairs.com/154182/security/vmware-cloud-director-appliance-critical-flaw.html

5、WP Fastest Cache插件SQL注入误差影响60万个网站

WPScan团队在11月14日披露了WordPress插件WP Fastest Cache中的SQL注入误差（CVE-2023-6063）。统计数据显示，凌驾60万个网站仍在运行该插件保存误差的版本。误差保存于插件WpFastestCacheCreateCache类的is_user_admin函数中，该函数通过从cookie中提取$username值来检查用户是否是治理员。由于$username的输入未经由净化，攻击者可能会使用此cookie值来更改插件执行的SQL盘问，从而导致对数据库未经授权的会见。

https://wpscan.com/blog/unauthenticated-sql-injection-vulnerability-addressed-in-wp-fastest-cache-1-2-2/

6、Kaspersky宣布关于2024年APT运动态势的展望报告

11月14日，Kaspersky宣布关于2024年APT运动态势的展望报告。该报告对2024年的展望包括：使用移动装备和可衣着装备以及智能装备的情形增添、使用消耗者和企业软件及装备构建新的僵尸网络、内核rootkit再次盛行、与国家相关的网络攻击增多、网络战中的黑客行动增添、供应链攻击即服务增多、使用可会见的天生式人工智能扩大鱼叉式垂纶攻击的规模、泛起更多提供黑客雇佣服务的整体以及MFT系统处于网络威胁的最前沿等。

https://securelist.com/kaspersky-security-bulletin-apt-predictions-2024/111048/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究