1、Apache Cocoon XML外部实体注入漏洞（CVE-2020-11991）

　　9月11日 Apache 软件基金会发布安全公告，修复了 Apache Cocoon xml外部实体注入漏洞（CVE-2020-11991）。Apache Cocoon 是一个基于 Spring 框架的围绕分离理念建立的构架，在这种框架下的所有处理都被预先定义好的处理组件线性连接起来，能够将输入和产生的输出按照流水线顺序处理。攻击者可以使用包括外部系统实体在内的特制 xml 来访问服务器系统上的任何文件。

　　参考来源：

　　https://nosec.org/home/detail/4564.html

　　2、毕马威误删，14.5万个账号清零，微软确认数据不可恢复

　　云盒子早前发布了一篇关于思科忘记删除前职员账号和权限，导致456个虚拟机被删除，结果没过几天毕马威也因为人为误删除，失去全部员工的账号和团队沟通数据。起因是毕马威在删除一个离职员工的账号时，误将删除操作覆盖到毕马威所有员工账号，导致14.5万个员工账号被一键清除，还包括了日常沟通、语音和视频会议以及发送资料文档等。

　　参考来源：

　　https://dy.163.com/article/FMBN25V20511A5GF.html

　　3、首个国产超导量子计算机云平台上线

　　据外媒TechCrunch报道，TikTok已经修复了其Android应用中的四个安全漏洞，这些漏洞可能会导致用户账号被劫持。应用安全启动公司Oversecure发现了这些漏洞，这些漏洞可能会让同一设备上的恶意应用从TikTok应用内部窃取敏感文件如会话令牌。会话令牌是一种可让用户登录而无需再输入密码的小文件，如果被盗，这些令牌可以让攻击者在不需要密码的情况下访问用户的账户。

　　参考来源：

　　https://www.cnbeta.com/articles/tech/1028261.htm

　　4、英特尔Coffee Lake和AMD Zen + / Zen 2均被发现全新安全漏洞

　　来自阿姆斯特丹的研究人员分享了有关最新AMD和Intel处理器中新的Spectre式推测执行漏洞的详细信息。它被称为“ 盲目的 ”，它使攻击者能够在“幽灵”时代“失明”。也就是说，鉴于内核中的缓冲区溢出很简单，并且没有其他信息泄漏漏洞，BlindSide可以在推测性执行域中进行BROP式攻击，以反复探查和随机化内核地址空间，制作任意内存读取小工具，并实现可靠的利用。

　　参考来源：

　　https://finance.sina.cn/stock/relnews/us/2020-09-13/detail-iivhuipp4108293.d.html

　　5、国家计算机病毒应急处理中心监测发现十四款违法移动应用

　　国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现，多款游戏类移动应用存在隐私不合规行为，违反《网络安全法》相关规定，涉嫌超范围采集个人隐私信息。包括在 App 首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则，或未向用户明示申请的全部隐私权限，未逐一列出收集使用个人信息的目的、方式、范围等。

　　参考来源：

　　https://www.secrss.com/articles/25491

　　6、德国威步公司旗下工业安全软件被爆6个严重漏洞

　　近日安全人员在威步（Wibu-Systems）的CodeMeter第三方许可证管理组件中发现了六个关键漏洞，这些漏洞可能使众多行业的用户面临操作技术（OT）网络的接管。这些漏洞可通过网络钓鱼活动加以利用，也可由攻击者直接利用，攻击者可以对用户环境进行指纹识别，以修改现有软件许可证或注入恶意许可证，从而导致设备和进程崩溃。

　　参考来源：

　　https://www.secrss.com/articles/25458