安全周报(11.22-11.28)
1、肉夹馍协会官网被黑!央视:协会起诉商家是维权还是敛财?
据外媒消息,近日计算机安全组织Cisco Talos发现了一个新的漏洞,包括Windows 11和Windows Server 2022在内的所有Windows版本均受影响。 该漏洞存在于Windows安装程序中,允许攻击者提升自己的权限成为管理员。利用该漏洞,拥有部分权限的用户可以提升自己的权限至系统管理员。这家安全公司已经在互联网上发现了恶意软件样本,这表明可能已经有黑客利用该漏洞发起攻击。 此前,微软的安全研究员Abdelhamid Naceri向微软报告了这个漏洞,据说在11月9日用CVE-2021-41379修复了该漏洞。然而,这个补丁似乎并不足以解决这个问题,因为这个问题仍然存在,导致Naceri在GitHub上发布了概念证明。 微软将该漏洞评为"中等严重程度",基本CVSS(通用漏洞评分系统)评分为5.5,时间评分为4.8。现在有了功能性的概念验证漏洞代码,其他人可以尝试进一步滥用它,可能会增加这些分数。目前,微软还没有发布一个新的更新来缓解这个漏洞。 东南亚地区最大银行——新加坡星展银行的网上银行服务从23日上午开始出现大规模中断,遭到数千名客户投诉后,24日恢复服务几小时后再次遭遇中断。星展银行24日向客户保证,正在解决技术问题,客户的存款是“安全的”。 此次服务中断是星展银行自2010年以来遭遇的最大故障。2010年,星展银行的自动取款机出现故障,导致新加坡金融监管机构采取监管行动。 星展银行是东南亚地区规模最大的银行,拥有4919亿美元资产、员工数量超过24000人。该银行在50个不同城市有着250家分支机构和1100台ATM机。 近期,专家披露了甲骨文VirtualBox 中的漏洞(编号为 CVE-2021-2442),该漏洞可能会被用于破坏虚拟机管理程序并触发拒绝服务 (DoS) 条件。 CVE-2021-2442由 SentinelLabs 的 Max Van Amerongen 发现,其 CVSS 评分为 6.0。该漏洞可能影响到VirtualBox 6.1.24 之前的版本。 美国国家标准与技术研究院(NIST)对漏洞进行了详细描述:“该漏洞很容易被高权限攻击者利用,一旦夺取VirtualBox的漏洞权限,可能导致VirtualBox 挂起或频繁崩溃。”