美国法院系统存在跨站请求伪造漏洞近30年 .NET编码库存在严重的反序列化漏洞

Posted 2021-04-18 安恒信息每日资讯

2017.08.12 周六

安全资讯

资讯要点

国当地时时间8月10日，维基解密曝光新一批Vault 7文件，揭露了CIA工具“沙发土豆”。CIA可借助“沙发土豆”实时远程监控视频流。维基解密写到，“沙发土豆”是一款收集RTSP/H.264视频流的远程工具，可收集AVI格式的视频文件或捕捉视频流的静态图片（JPG格式）。这款工具利用视频ffmpeg、图像编码与解码，以及RTSP（实时流媒体协议---专门控制流媒体服务器的网络控制协议）连接收集视频流。“沙发土豆”依赖ICE v3 Fire and Collect加载器运行。

据报道，.NET编码库存在反序列化漏洞，会让攻击者在处理反序列化数据的服务器和计算机上执行代码，从而影响.NET生态系统。

美国法院电子司法卷宗公共存取系统PACER存在的跨站请求伪造漏洞，这个存在时间长达30年的漏洞现已被修复。黑客可利用该漏洞劫持账号，并检索受害者的民事和刑事诉讼案件卷宗。PACER是美国法院电子司法卷宗公共存取系统，可供用户在线获取联邦上诉机构、地区和破产法院的案件和诉讼事件表信息。PACER由联邦司法机关提供，旨在通过集中式服务为用户提供途径访问法院信息。PACER主要使用对象为律师和记者，提取文件中的PDF和网页需付费10美分，每个文件至多3美元。

F5 Labs周三发布全球物联网威胁报告，对攻击者如何搭建僵尸网络攻击物联网设备做了调查，报告中显示2017上半年全球物联网攻击增加280%。目前，已投入使用的物联网（IoT）设备多达几十亿台，未来还将继续增加。Gartner预计，到2020年，超过50%的主要新流程和系统将包含物联网元素。物联网设备进入家庭和办公室的同时，企业也在面临越来越大的风险。

工业和信息化部关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知。

国际要闻

维基解密曝光第20批Vault 7文件：CIA借助“沙发土豆”实时远程监控视频流

https://www.easyaq.com/news/1584495062.shtml

.NET编码库存在严重的反序列化漏洞

https://www.easyaq.com/news/1739905508.shtml

美国法院系统PACER存在跨站请求伪造漏洞近30年

https://www.easyaq.com/news/1736339028.shtml

2017上半年全球物联网威胁报告：物联网攻击增加280%

https://www.easyaq.com/news/420002291.shtml

国内要闻

工业和信息化部关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知

https://www.easyaq.com/news/1072398121.shtml

信息安全 · 选择安恒

www.dbappsecurity.com.cn