风险漏洞 处处小心

WinRAR被曝严重安全漏洞

Check Point公司研究人员披露，在WinRAR的UNACEV2.dll代码库中发现严重安全漏洞，该漏洞允许安全专家绕过权限提升就能运行WinRAR，而且可以直接将恶意文件放进Windows系统的启动文件夹中。

微软IIS服务器漏洞可导致DoS攻击

微软发布公告称，运行IIS的Windows服务器易受到DoS攻击，IIS服务器处理HTTP/2请求时会导致CPU使用率激增至100%，从而耗尽系统资源，关闭连接。

RunC曝严重漏洞影响容器安全运行

安全研究人员披露了RunC容器逃逸漏洞，该漏洞允许恶意容器覆盖主机上的RunC二进制文件，以在主机上获取root级别的代码执行，让攻击者能够以root身份运行任何命令。Docker在18.09.2版本修复了该漏洞。

思科修复17个软件和产品漏洞

思科修复软件和产品漏洞中包含6个中等严重性漏洞，6个高严重性的漏洞，其中包括HyperFlex软件命令注入漏洞CVE-2018-1538，允许攻击者以root用户身份在受影响主机上运行命令。

西门子自动化系统出现严重漏洞

西门子工业控制系统SICAM230存在漏洞（CVE-2018-3989、CVE-2018-3990、CVE-2018-3991），可导致系统遭受远程代码执行攻击。其中CVE-2018-3989允许自定义I/O请求包返回未初始化内存，从而暴露内核内存。

WordPress曝出插件漏洞

RIPS科技安全研究人员批露了一个关键的远程代码执行漏洞，攻击者通过利用作者权限的账户，修改与图片关联的任何条目并将其设置为任意值，从而导致Path Traversal漏洞。WordPress已修复了该漏洞。

LG内核驱动程序存在权限提升漏洞

研究人员在LG内核驱动程序中发现一个漏洞（CVE-2019-8372），允许攻击者将权限提升到系统权限，该漏洞将允许攻击者利用内核模式驱动程序功能来提升权限。

流行的密码管理器中发现重大安全漏洞

安全评估公司在Windows 10上对1Password、Dashlane、KeePass和LastPass 进行审计发现，主密码就会以明文形式保留在设备的内存中，可被攻击者轻松读取，然后即可访问存储在密码管理器中的所有数据。

利用AnyDesk移动应用访问设备数据

网络诈骗者正在使用名为“AnyDesk”的移动应用程序，寻求对用户手机的控制权限，来访问移动设备上的数据，并通过其他支付应用程序进行欺诈交易。

新渗透技术可在预览文档时触发载荷

安全研究人员发现了一种新的恶意软件渗透技术，用户无需打开包含恶意软件的Word（也适用于Outlook）文档，即可触发恶意软件，且文件被标记为来自不可靠的位置时，同样有效。该恶意文档不包含宏，而使用RTF文档格式的功能，使用“objupdate”嵌入Excel来强制更新。

家用路由器DNS被大规模篡改

CNCERT监测发现，部分用户通过家用路由器访问部分网站时，DNS地址被恶意篡改并被劫持，影响遍布我国境内的IP地址400万余个，暂未发现合法的知名商业网站、政府类网站域名被劫持。

恶意软件Muncy经过伪装进行钓鱼攻击

Muncy伪装成DHL发货通知，开展钓鱼攻击，攻击者利用受损服务器配置，在用户的计算机中创建新进程后扫描并收集用户信息。

新macOS恶意软件变种Shlayer

Shlayer主要伪装成Adobe Flash更新进行分发，许多基于初始DMG文件都使用合法的Apple开发人员ID进行签名，然后将用户重定向到伪装成合法的虚假更新网站或被劫持的合法网站。

基于JAR的Qealler窃取信息

名为Qealler的新型恶意软件，采用Java编写的下载器，旨在静默窃取敏感信息。恶意JAR文件被描绘为与发票相关的文件，从受感染站点下载。

“驱动人生”再现新型下载器木马病毒

亚信安全截获“驱动人生”下载木马的最新变种，其会在已感染的主机上，通过后门下载更新文件，植入最新版本的木马。其传播方式增加了通过RDP弱口令传播，并通过mimikatz窃取内存管理员密码在局域网内横向传播，亚信安全将其命名为Trojan.Win32.INFOSTEAL.ADT。

KindEditor上传漏洞致网站遭植入

安恒公司发现近百起党政机关网站被植入色情广告页面，这些网站都使用了KindEditor编辑器组件，由upload_json.*上传功能文件允许被直接调用从而实现上传文件到服务器。