Intel带外更新修复可绕过CPU宁静界限的Reptar漏洞

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Intel带外更新修复可绕过CPU宁静界限的Reptar漏洞

宣布时间 2023-11-16

1、Intel带外更新修复可绕过CPU宁静界限的Reptar漏洞

据11月15日报道，Intel修复了一个影响其台式机、移动设备和服务器CPU的漏洞（CVE-2023-23583）。它源于处置器如何解释冗余前缀的问题，可用来提升权限、获取敏感信息的访问权限或触发拒绝服务状态。Google发现并披露了该漏洞的细节，他们将其命名为Reptar，并透露乐成利用还可能绕过CPU的宁静界限。英特尔建议尽快更新受影响的处置器，OSV也可尽快提供包罗此新微码的更新。

https://thehackernews.com/2023/11/reptar-new-intel-cpu-vulnerability.html

2、三星电子再次发生数据泄露，主要影响英国的客户

据媒体11月15日报道，三星电子向部门客户通报了一起数据泄露事件。11月13日，三星发现了此次数据泄露事件，并确定这是黑客利用该公司的第三方应用法式中的漏洞导致的，但是未提供攻击细节。该公司体现，此次事件仅影响了在2019年7月1日至2020年6月30日期间，从三星英国的在线商店购物的客户。这是三星在两年内遭到的第三次数据泄露。

https://www.bleepingcomputer.com/news/security/samsung-hit-by-new-data-breach-impacting-uk-store-customers/

3、美国B2B药房平台Truepill泄露230万用户的信息

媒体11月14日称，美国药店供应商Truepill泄露了2364359人的信息。Truepill是一个专注于B2B的药房平台，使用API为美国50个州的医疗保健机构提供订单执行和交付服务。该公司于8月31日发现未经授权的访问，视察显示攻击者在前一天获得了访问权限。该公司可能面临执法后果，全国各地都在准备多起集体诉讼。具体来说，它未对其服务器上存储的敏感医疗信息进行加密，延迟通知消费者，以及通知的内容过于含糊。

https://www.bleepingcomputer.com/news/security/pharmacy-provider-truepill-data-breach-hits-23-million-customers/

4、VMware披露新的身份验证绕过漏洞CVE-2023-34060

11月15日报道称，VMware披露了其Cloud Director Appliance中一个严重的身份验证绕过漏洞（CVE-2023-34060）。拥有设备网络访问权限的攻击者，可在通过端口22（ssh）或端口5480（设备管理控制台）进行身份验证时绕过登录限制。在端口443（VCD提供商和租户登录）和新安装的Cloud Director Appliance 10.5上不存在此绕过问题。虽然VMware尚未针对这一漏洞宣布补丁，但该公司提供了临时解决要领。

https://securityaffairs.com/154182/security/vmware-cloud-director-appliance-critical-flaw.html

5、WP Fastest Cache插件SQL注入漏洞影响60万个网站

WPScan团队在11月14日披露了WordPress插件WP Fastest Cache中的SQL注入漏洞（CVE-2023-6063）。统计数据显示，凌驾60万个网站仍在运行该插件存在漏洞的版本。漏洞存在于插件WpFastestCacheCreateCache类的is_user_admin函数中，该函数通过从cookie中提取$username值来检查用户是否是管理员。由于$username的输入未经过净化，攻击者可能会利用此cookie值来更改插件执行的SQL查询，从而导致对数据库未经授权的访问。

https://wpscan.com/blog/unauthenticated-sql-injection-vulnerability-addressed-in-wp-fastest-cache-1-2-2/

6、Kaspersky宣布关于2024年APT活动态势的预测陈诉

11月14日，Kaspersky宣布关于2024年APT活动态势的预测陈诉。该陈诉对2024年的预测包罗：利用移动设备和可穿着设备以及智能设备的情况增加、利用消费者和企业软件及设备构建新的僵尸网络、内核rootkit再次流行、与国家相关的网络攻击增多、网络战中的黑客行动增加、供应链攻击即服务增多、利用可访问的生成式人工智能扩大鱼叉式钓鱼攻击的范围、泛起更多提供黑客雇佣服务的团体以及MFT系统处于网络威胁的最前沿等。

https://securelist.com/kaspersky-security-bulletin-apt-predictions-2024/111048/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究