1、Apache Cocoon XML外部實體注入漏洞（CVE-2020-11991）

　　9月11日 Apache 軟件基金會發布安全公告，修復了 Apache Cocoon xml外部實體注入漏洞（CVE-2020-11991）。Apache Cocoon 是一個基于 Spring 框架的圍繞分離理念建立的構架，在這種框架下的所有處理都被預先定義好的處理組件線性連接起來，能夠將輸入和產生的輸出按照流水線順序處理。攻擊者可以使用包括外部系統實體在內的特制 xml 來訪問服務器系統上的任何文件。

　　參考來源：

　　https://nosec.org/home/detail/4564.html

　　2、畢馬威誤刪，14.5萬個賬號清零，微軟確認數據不可恢復

　　云盒子早前發布了一篇關于思科忘記刪除前職員賬號和權限，導致456個虛擬機被刪除，結果沒過幾天畢馬威也因為人為誤刪除，失去全部員工的賬號和團隊溝通數據。起因是畢馬威在刪除一個離職員工的賬號時，誤將刪除操作覆蓋到畢馬威所有員工賬號，導致14.5萬個員工賬號被一鍵清除，還包括了日常溝通、語音和視頻會議以及發送資料文檔等。

　　參考來源：

　　https://dy.163.com/article/FMBN25V20511A5GF.html

　　3、首個國產超導量子計算機云平臺上線

　　據外媒TechCrunch報道，TikTok已經修復了其Android應用中的四個安全漏洞，這些漏洞可能會導致用戶賬號被劫持。應用安全啟動公司Oversecure發現了這些漏洞，這些漏洞可能會讓同一設備上的惡意應用從TikTok應用內部竊取敏感文件如會話令牌。會話令牌是一種可讓用戶登錄而無需再輸入密碼的小文件，如果被盜，這些令牌可以讓攻擊者在不需要密碼的情況下訪問用戶的賬戶。

　　參考來源：

　　https://www.cnbeta.com/articles/tech/1028261.htm

　　4、英特爾Coffee Lake和AMD Zen + / Zen 2均被發現全新安全漏洞

　　來自阿姆斯特丹的研究人員分享了有關最新AMD和Intel處理器中新的Spectre式推測執行漏洞的詳細信息。它被稱為“ 盲目的 ”，它使攻擊者能夠在“幽靈”時代“失明”。也就是說，鑒于內核中的緩沖區溢出很簡單，并且沒有其他信息泄漏漏洞，BlindSide可以在推測性執行域中進行BROP式攻擊，以反復探查和隨機化內核地址空間，制作任意內存讀取小工具，并實現可靠的利用。

　　參考來源：

　　https://finance.sina.cn/stock/relnews/us/2020-09-13/detail-iivhuipp4108293.d.html

　　5、國家計算機病毒應急處理中心監測發現十四款違法移動應用

　　國家計算機病毒應急處理中心近期在“凈網2020”專項行動中通過互聯網監測發現，多款游戲類移動應用存在隱私不合規行為，違反《網絡安全法》相關規定，涉嫌超范圍采集個人隱私信息。包括在 App 首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則，或未向用戶明示申請的全部隱私權限，未逐一列出收集使用個人信息的目的、方式、范圍等。

　　參考來源：

　　https://www.secrss.com/articles/25491

　　6、德國威步公司旗下工業安全軟件被爆6個嚴重漏洞

　　近日安全人員在威步（Wibu-Systems）的CodeMeter第三方許可證管理組件中發現了六個關鍵漏洞，這些漏洞可能使眾多行業的用戶面臨操作技術（OT）網絡的接管。這些漏洞可通過網絡釣魚活動加以利用，也可由攻擊者直接利用，攻擊者可以對用戶環境進行指紋識別，以修改現有軟件許可證或注入惡意許可證，從而導致設備和進程崩潰。

　　參考來源：

　　https://www.secrss.com/articles/25458