1,、Apache Cocoon XML外部實體注入漏洞（CVE-2020-11991）

　　9月11日 Apache 軟件基金會發(fā)布安全公告,，修復了 Apache Cocoon xml外部實體注入漏洞（CVE-2020-11991）。Apache Cocoon 是一個基于 Spring 框架的圍繞分離理念建立的構架,，在這種框架下的所有處理都被預先定義好的處理組件線性連接起來,，能夠?qū)⑤斎牒彤a(chǎn)生的輸出按照流水線順序處理,。攻擊者可以使用包括外部系統(tǒng)實體在內(nèi)的特制 xml 來訪問服務器系統(tǒng)上的任何文件,。

　　參考來源：

　　https://nosec.org/home/detail/4564.html

　　2、畢馬威誤刪,，14.5萬個賬號清零,，微軟確認數(shù)據(jù)不可恢復

　　云盒子早前發(fā)布了一篇關于思科忘記刪除前職員賬號和權限，導致456個虛擬機被刪除,，結果沒過幾天畢馬威也因為人為誤刪除,，失去全部員工的賬號和團隊溝通數(shù)據(jù)。起因是畢馬威在刪除一個離職員工的賬號時,，誤將刪除操作覆蓋到畢馬威所有員工賬號,，導致14.5萬個員工賬號被一鍵清除，還包括了日常溝通,、語音和視頻會議以及發(fā)送資料文檔等,。

　　參考來源：

　　https://dy.163.com/article/FMBN25V20511A5GF.html

　　3、首個國產(chǎn)超導量子計算機云平臺上線

　　據(jù)外媒TechCrunch報道,，TikTok已經(jīng)修復了其Android應用中的四個安全漏洞,，這些漏洞可能會導致用戶賬號被劫持。應用安全啟動公司Oversecure發(fā)現(xiàn)了這些漏洞,，這些漏洞可能會讓同一設備上的惡意應用從TikTok應用內(nèi)部竊取敏感文件如會話令牌,。會話令牌是一種可讓用戶登錄而無需再輸入密碼的小文件，如果被盜,，這些令牌可以讓攻擊者在不需要密碼的情況下訪問用戶的賬戶,。

　　參考來源：

　　https://www.cnbeta.com/articles/tech/1028261.htm

　　4、英特爾Coffee Lake和AMD Zen + / Zen 2均被發(fā)現(xiàn)全新安全漏洞

　　來自阿姆斯特丹的研究人員分享了有關最新AMD和Intel處理器中新的Spectre式推測執(zhí)行漏洞的詳細信息,。它被稱為“ 盲目的 ”，它使攻擊者能夠在“幽靈”時代“失明”,。也就是說,，鑒于內(nèi)核中的緩沖區(qū)溢出很簡單，并且沒有其他信息泄漏漏洞,，BlindSide可以在推測性執(zhí)行域中進行BROP式攻擊,，以反復探查和隨機化內(nèi)核地址空間，制作任意內(nèi)存讀取小工具,，并實現(xiàn)可靠的利用,。

　　參考來源：

　　https://finance.sina.cn/stock/relnews/us/2020-09-13/detail-iivhuipp4108293.d.html

　　5、國家計算機病毒應急處理中心監(jiān)測發(fā)現(xiàn)十四款違法移動應用

　　國家計算機病毒應急處理中心近期在“凈網(wǎng)2020”專項行動中通過互聯(lián)網(wǎng)監(jiān)測發(fā)現(xiàn),，多款游戲類移動應用存在隱私不合規(guī)行為,，違反《網(wǎng)絡安全法》相關規(guī)定，涉嫌超范圍采集個人隱私信息,。包括在 App 首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規(guī)則,，或未向用戶明示申請的全部隱私權限,，未逐一列出收集使用個人信息的目的、方式,、范圍等,。

　　參考來源：

　　https://www.secrss.com/articles/25491

　　6、德國威步公司旗下工業(yè)安全軟件被爆6個嚴重漏洞

　　近日安全人員在威步（Wibu-Systems）的CodeMeter第三方許可證管理組件中發(fā)現(xiàn)了六個關鍵漏洞,，這些漏洞可能使眾多行業(yè)的用戶面臨操作技術（OT）網(wǎng)絡的接管,。這些漏洞可通過網(wǎng)絡釣魚活動加以利用，也可由攻擊者直接利用,，攻擊者可以對用戶環(huán)境進行指紋識別,，以修改現(xiàn)有軟件許可證或注入惡意許可證，從而導致設備和進程崩潰,。

　　參考來源：

　　https://www.secrss.com/articles/25458