微软揭露罗克韦尔自动化的惊天漏洞；英特尔 CPU 新漏洞“Indirector”，敏感数据面临泄露危机！GitLab 关键漏洞曝光，14 个漏洞补丁来袭，CI/CD 管道安全告急 | 安全周报0705

新闻1：微软揭露罗克韦尔自动化的惊天漏洞，远程代码执行和 DoS 攻击风险来袭！

微软揭露了罗克韦尔自动化的PanelView Plus存在的两个安全漏洞，这些漏洞可能被远程的未验证攻击者利用来执行任意代码并触发拒绝服务（DoS）状况。

安全研究员尤瓦尔·戈登（Yuval Gordon）说：“PanelView Plus中的[远程代码执行]漏洞涉及两个可被滥用的自定义类，它们可被用于向设备上传和加载恶意的DLL。”

“拒绝服务（DoS）漏洞利用相同的自定义类来发送一个设备无法正确处理的精心制作的缓冲区，从而导致拒绝服务（DoS）。”

主要技术关键词：安全漏洞、远程代码执行、拒绝服务（DoS）攻击、自定义类、恶意DLL、缓冲区

https://thehackernews.com/2024/07/microsoft-uncovers-critical-flaws-in.html

新闻2：微软漏洞被利用，MerkSpy 间谍软件大肆窃取用户敏感信息！

观察到未知黑客正在利用Microsoft MSHTML中一个现已修补的安全漏洞来传播一种名为MerkSpy的监视工具，作为一场主要针对加拿大、印度、波兰和美国用户的活动的一部分。

“MerkSpy旨在秘密监视用户活动，捕获敏感信息，并在受损系统上建立持久性存在，”Fortinet FortiGuard Labs的研究员Cara Lin在上周发布的一份报告中说道。<