Auth0雲服務身份驗證平台爆出身份驗證繞過漏洞CVE-2018-6873/74

Auth0雲服務身份驗證平台爆出 身份驗證繞過漏洞 ，升級CVEID CVE-2018-6873，CVE-2018-6874。攻擊者僅需要知道用戶的user ID或者email地址，就可以登錄該用戶任何使用Auth0驗證的應用。

Google Chrome和Mozilla Firefox將支持全新無密碼登錄規範

今天，W3C和FIDO聯盟標準機構宣布，Web瀏覽器正在構建一種新的登錄方式。這款名為WebAuthn所呈現的新開放標準將在最新版本的Firefox中得到支持，並將在未來幾個月發布的Chrome和Edge的版本中得到支持。這是多年來的最新舉措，目的是讓用戶遠離密碼，轉向更安全的登錄方式，如生物識別和USB令牌。

linux Beep命令本地提權漏洞CVE-2018-0492 可探測敏感文件並拿Root許可權

利用該漏洞，攻擊者可以在計算機上探測敏感文件，即使是root用戶的文件，同時可以進行本地提權，進而完全控制系統。沒想到只是一個「嗶嗶」聲，也能入侵。

密切關注Matrix勒索軟體兩個新變種 能加密能調試還能覆蓋剩餘空間

這些變種主要 通過入侵遠程桌面服務進行安裝。儘管這兩 勒索軟體 變種都會對計算機的文件進行加密，但其中一種更加先進，可提供更多調試消息並使用 cipher 來擦除可用空間。 聯繫Email裡面居然還有個QQ RestoreFile@qq.com 。文末包含IoC。

素材來源：http://toutiao.secjia.com/cve-2018-0492，https://www.cnbeta.com/articles/tech/715267.htm

安全圈整理編輯

如有侵權請聯繫刪除

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！