——更多安全资讯和情报，可关注微信公众号：安全帮——

化妆品巨头雅芳泄漏1900万条数据记录

全球化妆品巨头雅芳（Avon）最近因云服务器配置错误泄漏了1900万条记录，其中包括个人信息和技术日志。SafetyDetectives的研究人员发现雅芳在Azure服务器上的Elasticsearch数据库公开暴露，且没有密码保护或加密。SafetyDetectives随后解释称：“该漏洞意味着拥有服务器IP地址的任何人都可以访问公司的开放数据库。”

参考来源：

http://hackernews.cc/archives/31309

Zoom 再爆安全漏洞：会议默认使用 6 位数字密码 能在几分钟内破解

7月30日，安全研究人员公布了Zoom的一个关键安全漏洞。Zoom的网络客户端允许任何人检查会议的密码是否正确，没有任何尝试次数的限制。Zoom 会议默认由 6 位数字密码保护，所以可能出现100万个不同的密码。攻击者可以写一个小的 Python 代码来尝试所有的 100 万个密码，并在几分钟内找到正确的密码。

参考来源：

http://hackernews.cc/archives/31467

恶意程序使用 Dogecoin API 寻找 C&C 服务器地址

据安全公司Intezer Labs报告，一种新的恶意程序Doki会使用Dogecoin API寻找C&C服务器地址。研究人员称，Doki由黑客组织Ngrok控制，使用硬编码钱包地址去查询 Dogecoin 区块资源管理器 dogechain.info API，对返回的值执行 SHA256，提取前 12 个字符作为子域名使用，将子域名结合 ddns.net 获得完整地址。

参考来源：

https://www.solidot.org/story?sid=65087

安全启动存在严重漏洞，几乎所有Linux和Windows设备受影响

7月30日，网络安全研究人员披露了一个位于GRUB2引导程序中的高风险漏洞BootHole（CVE-2020-10713），该漏洞影响了全球数十亿设备，几乎波及所有正在运行Linux发行版或Windows系统的服务器、工作站，笔记本电脑，台式机及IoT系统。一旦被利用，该漏洞可让攻击者避开安全启动功能，并获得高度特权，隐身访问目标系统。

参考来源：

https://www.freebuf.com/news/245060.html

grub2 缓冲区错误漏洞

grub2是GNU计划的一款Linux系统引导程序。grub2中存在缓冲区错误漏洞（漏洞编号为CVE-2020-14309，中危）。该漏洞源于网络系统或产品在内存上执行操作时，未正确验证数据边界，导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。目前厂商已发布升级补丁以修复漏洞。

参考来源：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1738

Seafile seafile-client 安全漏洞

海文互知网络技术 Seafile是海文互知网络技术公司的一款开源的企业云盘。该产品具有Markdown WYSIWYG编辑，Wiki，文件标签等功能。seafile-client是一款Seafile客户端应用程序。Seafile seafile-client 7.0.8版本中存在安全漏洞（漏洞编号为CVE-2020-16143，中危），该漏洞源于程序从当前工作目录中加载exchndl.dll文件。攻击者可利用该漏洞实施DLL劫持攻击。

参考来源：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1735

约会应用程序缺陷可能让黑客阅读用户私人信息

Check Point的研究人员发现，OkCupid的Android和web应用程序存在缺陷，可能会导致用户的认证令牌、用户ID以及其他敏感信息，如电子邮件地址、偏好、性取向和其他私人数据被盗。Check Point的研究人员负责地将他们的发现与OkCupid分享后，Match Group旗下的公司修复了这些问题，声明“没有一个用户受到潜在漏洞的影响。”

参考来源：

https://tech.163.com/20/0629/10/FG9IJJLS00097U7R.html