Struts2又曝高危远程代码执行漏洞 多家安卓手机芯片厂商的Bootloader存在漏洞

Posted 2021-04-28 安恒信息每日资讯

2017.09.06 周三

安全资讯

资讯要点

Struts2应用又曝出存在新的高危远程代码执行漏洞。该漏洞由lgtm.com的安全研究员汇报，编号为CVE-2017-9805，漏洞危害程度为高危。当用户使用带有XStream程序的Struts REST插件来处理XML payloads时，可能会遭到远程代码执行攻击。

研究人员发现知名芯片厂商的安卓Bootloader组件存在六大漏洞，会将设备置于危险之中。分析四大芯片组厂商（包括高通、联发科技、英伟达和华为）的Bootloader组件代码后，研究人员在两个Bootloader中发现6个0Day漏洞。并且高通Bootloader中存在一个已知拒绝服务漏洞（CVE-2014-9798），影响了旧版的高通Bootloader。另外5个漏洞属于新漏洞，并已获得这几大厂商证实。其中一个影响了英伟达Bootloader，另外的影响了华为安卓Bootloader。

美国华盛顿大学研究人员日前成功运用生物学手段使计算机感染恶意代码。在实验中，研究人员将恶意软件存入合成DNA中，并演示了植入的代码如何损害连接着基因测序仪并对这段DNA进行分析的电脑。

世界上第一条量子保密通信骨干线路已具备开通条件。国家量子保密通信“京沪干线”近日通过技术验收，我国在量子技术的实用化和产业化方面继续走在世界前列。自2013年立项以来，“京沪干线”项目组突破了高速量子密钥分发、高速高效率单光子探测、可信中继传输和大规模量子网络管控等系列工程化实现的关键技术。

上周末MongoDB数据库遭遇勒索攻击，三个黑客团伙劫持了2.6万余台服务器，其中一个团伙劫持2.2万台服务器。这些黑客组织成员在互联网上扫描开放外部连接的MongoDB数据库，清除并用勒索程序替换了数据库中的数据。这些暴露的数据库中大多数为测试系统，但其中一部分包含重要生产数据，因此仍有一些公司最终支付了赎金。但与此前的勒索攻击不同的是，这一次用户支付了赎金并没有换回相应的数据，黑客根本就没有掌握他们的数据，用户只是被戏耍了一番。

国际要闻

漏洞预警 | Apache Struts2 REST插件远程代码执行漏洞（S2-052）

https://www.easyaq.com/news/1977701060.shtml

多个主流安卓手机芯片厂商的Bootloader存在漏洞

https://www.easyaq.com/news/1036467692.shtml

美国研究人员实现以生物手段让电脑感染病毒，将恶意软件存入合成DNA中

https://www.easyaq.com/news/846349984.shtml

国内要闻

全球首条量子保密通信骨干网“京沪干线”通过技术验收，已具备开通条件

https://www.easyaq.com/news/170183434.shtml

安全事件

2.6万台MongoDB数据库被劫持 用户惨遭调戏

https://www.easyaq.com/news/405021770.shtml

信息安全 · 选择安恒

www.dbappsecurity.com.cn