adv

adv
solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
安全
pigsrollaroundinthem(39396)
发表于2017年09月21日 16时10分 星期四
来自军方黑客
32 位版的 CCleaner v5.33 被人悄悄植入了恶意代码,收集有关被感染机器的特征信息,似乎危险性并不大,但这些情报显然是为第二阶段的针对性攻击做准备。思科 Talos安全团队分析了第三方提供的恶意程序指令控制服务器上的 MySQL 文件,发现攻击者的真正感兴趣的目标是一些著名的科技企业,包括了新加坡电信、宏达电、三星、索尼、VMware、英特尔、微软、思科、沃达丰、微星科技、友讯科技等。研究人员称,至少有 20 个主机遭到了第二阶段的攻击。研究人员建议被感染的用户使用备份或镜像重新安装系统。对植入 CCleaner 的恶意代码的分析还显示,它与 Operation SMN 背后的中国 ATP 组织 APT17 共享了代码,但并不能证明攻击者来自中国。
安全
pigsrollaroundinthem(39396)
发表于2017年09月21日 11时09分 星期四
来自NSA 已经知道了
Positive Technologies 的安全研究人员将在 12 月举行的欧洲 Black Hat 安全会议上报告针对英特尔 Management Engine 的漏洞利用。从 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 Management Engine(ME),它包含了一个或多个处理器核心,内存,系统时钟,内部总线,保留的受保护内存,有自己的操作系统和程序,能访问系统主内存和网络。ME 能完全访问和控制 PC,能启动和关闭电脑,读取打开的文件,检查所有运行的程序,跟踪按键和鼠标移动,甚至能捕捉屏幕截图,其功能可视为系统的“上帝模式”。研究人员称,ME 运行了一个修改版的 MINIX 操作系统——就是与 Linus Torvalds 展开著名论战的荷兰 Vrije 大学教授 Andrew Tanenbaum 开发的微内核。研究人员在 Intel ME v11+ 上发现了一个漏洞,允许攻击者在 ME 所在的平台控制单元运行未签名代码。主系统的用户可能察觉不到他们的计算机包含了一个无法清除的恶意程序。
Chrome
pigsrollaroundinthem(39396)
发表于2017年09月20日 16时51分 星期三
来自企业不用 FF
德国 IT 安全机构 X41 D-Sec 的研究人员分析了(PDF) Google Chrome、Microsoft Edge 和 Internet Explorer 在企业使用场景下的安全性,发现 Chrome 最能抵御攻击。这项研究得到了 Google 的资助,但研究人员声称搜索巨人并没有干预其研究。这项研究没有测试 Firefox、Safari 和 Opera 等浏览器。研究人员发现,IE 因为其弱沙盒而安全性较差,Edge 因为使用了更强的沙盒技术不存在遗留的技术而更能抵御利用,Chrome 因严锁组件和职责分隔而最能抵御攻击,但它支持更多的现代 Web 技术而增加了攻击面。
安全
pigsrollaroundinthem(39396)
发表于2017年09月19日 12时02分 星期二
来自说不定还有
美国信用巨头 Equifax 本月早些时候承认 1.43 亿美国消费者敏感信息泄漏,攻击发生在五月中旬,直到 7 月 29 日才被发现,攻击者利用了一个已修复的 Apache Struts 漏洞。彭博社报道称,Equifax 不只是遭到一次入侵而是两次,第一次入侵发生在今年三月份,这次入侵与最近披露的事件不相关,但涉及到了相同的入侵者。两次入侵 Equifax 都雇佣了同一家安全公司 Mandiant 进行调查。Equifax 的三名高管在披露第二次黑客攻击前出售了股票,该公司声称这三名高管对事件不知情,但两次入侵事件使得形势变得复杂化了,只要三名高管知道任意一次入侵,他们就可能容易受到内幕交易的指控。美国司法部已经对此次股票出售展开了犯罪调查。
安全
pigsrollaroundinthem(39396)
发表于2017年09月18日 17时48分 星期一
来自不更新的好处
思科 Talos 安全团队报告,流行的系统维护软件 CCleanup 被发现植入了恶意代码,受影响的版本是 32 位的 CCleaner 5.33,如果你过去一个月没有升级,你没有受到的影响。v5.33 是在 2017 年 8 月 15 日发布的,直到 9 月 11 日才从官方服务器上移除,v5.33 使用了有效证书签名,暗示开发商 Piriform 的开发或签名流程存在严重问题。Piriform 最近被安全公司 Avast 收购。CCleanup 是非常受欢迎的软件,每周的下载量超过 500 万,这意味着有大量用户下载了恶意版本的 CCleanup。
安全
pigsrollaroundinthem(39396)
发表于2017年09月18日 16时50分 星期一
来自推广 Check Point 的安全产品
Windows 10 引入了 Subsystem for Linux(WSL),让用户 在 Bash 终端运行 Linux 可执行文件。安全公司 Check Point Research 的研究人员报告了利用 WSL 的新攻击方法,他们称之为 Bashware 攻击。研究人员称,现有的安全产品还没有适应去监视运行在 Windows 操作系统上的 Linux 可执行程序的进程,从而为网络犯罪分子打开了新的大门,利用 WSL 提供的功能躲避检测运行恶意代码。研究人员在现有的杀毒软件和安全产品上测试了 Bashware 攻击,发现它能躲避所有安全产品的检测。
Python
pigsrollaroundinthem(39396)
发表于2017年09月17日 21时23分 星期日
来自粗手指
在 Node.js 项目的包管理器 NPM 发现利用名字相似性传播的恶意程序后,Python 官方的第三方软件库 PyPI(Python Package Index)也被发现遭到了类似的攻击。攻击者上传了名字相似的恶意模块,这些恶意的软件包包含了正确的代码,但修改了安装脚本。假软件包上传的时间从 6 月一直持续的 9 月。安全研究人员有意上传了 20 多个恶意库,结果在两天时间内被下载了 7000 多次。研究人员建议 Python 和 PyPI 开发者寻找方法阻止此类的攻击。
安全
pigsrollaroundinthem(39396)
发表于2017年09月17日 19时56分 星期日
来自文明举报
安全研究员 Ed Foudil 向互联网工程任务组(IETF)递交了一个 Security.txt 草案,寻找标准化网站的安全政策,这一文件类似定义 Web 和搜索引擎爬虫政策的 robots.txt 文件。举例来说,如果一名安全研究人员发现了一个网站的漏洞,他可以访问该网站的 security.txt 文件,获取如何联络公司和递交安全漏洞报告。security.txt 文件包含了如下信息: #This is a comment Contact: security@example.com Contact: +1-201-555-0123 Contact: https://example.com/security Encryption: https://example.com/pgp-key.txt Acknowledgement: https://example.com/acknowledgements.html Disclosure: Full 但就像一些爬虫会无视 robots.txt 去抓取网站内容,security.txt 看起来也容易被滥用,比如被垃圾信息发送者滥用。
安全
pigsrollaroundinthem(39396)
发表于2017年09月15日 16时31分 星期五
来自机器人容易愚弄
安全公司 Check Point 的研究人员在官方应用市场 Google Play 发现至少 50 个应用会在用户不知情下订阅欺骗性的付费短信服务和收取费用。研究人员将这个恶意应用家族称为 ExpensiveWall,这些应用通过打包隐藏恶意功能躲避 Google Play 的恶意程序扫描。一旦安装,它们会悄悄上传手机号码和硬件识别符等信息到攻击者控制的服务器,使用手机号码注册增值服务,发送假的增值短信。这些应用的下载量在 590 万到 2110 万之间。Google 在接到通知后移除了应用,但攻击者再次成功渗透到官方市场,在移除前又安装到了5000 多台设备上。
安全
pigsrollaroundinthem(39396)
发表于2017年09月15日 10时09分 星期五
来自然而人家上面有人
匿名读者 写道 "火狐发表公开评论,认为奇虎 360 工程师写的 StartCom 程序是灾难性的(security disaster),StartCom 的新 PHP 代码由奇虎 360 工程师编写,到处都是漏洞 (full of holes),注释很差(poorly commented),很少或根本没有测试(few or no tests)。

之前,StartCom 被发现使用交叉签名逃避浏览器的限制。火狐将把交叉签名证书也加入黑名单,并明令禁止任何机构对 StartCom 进行交叉签名,逃过火狐的限制。"

安全
pigsrollaroundinthem(39396)
发表于2017年09月14日 20时20分 星期四
来自快钱
就像 Chrome 扩展出售之后被加入广告程序,一款名叫 Display Widget 的 WordPress 插件出售之后被新拥有者加入了后门。Display Widget 原功能是被 WordPress 网站用于控制 Widget 的展示,在被 WordPress.org 团队移除前被超过 20 万网站使用。Stephanie Wells 是插件的最早开发者,她在将精力集中到高级版的插件之后,将开源版本出售。插件的新拥有者在 6 月 21 日释出了一个新版本,很快这个新版本被发现会从第三方服务器下载 38MB 的代码,收集网站的用户访问数据。在遭到用户投诉之后,WordPress.org 将其移除。但拥有者设法恢复了插件,释出了一个新版本 v2.6.1,再次被投诉再次被移除,但对方再次设法发布了新版本 2.6.2,最后一个版本是 9 月 2 日释出的 2.6.3。存在后门版本主要是  v2.6.1- 2.6.3。
安全
pigsrollaroundinthem(39396)
发表于2017年09月14日 15时40分 星期四
来自快倒闭
Equifax 上周曝出 1.43 亿美国用户的敏感信息泄露,当时它声称黑客利用了一个 Web 应用的漏洞,但并没有披露细节。本周,Equifax 发布了更新,证实黑客利用的是开源项目 Apache Struts 的漏洞 CVE-2017-5638。Apache Struts 是在今年 3 月 6 日释出了补丁修复了该漏洞,而黑客对 Equifax 的入侵发生在 5 月中旬,也就是 Equifax 没有及时打上补丁,让黑客能利用已修复的漏洞入侵其系统。
安全
pigsrollaroundinthem(39396)
发表于2017年09月14日 11时42分 星期四
来自不给权限不运行
软件巨人透露将允许用户对应用在设备上能做什么有更多的控制。在访问潜在敏感的硬件和软件功能前,Windows 10 Fall Creators Update 将询问用户给予应用访问权限。举例来说,你的视频记录应用会要求访问摄像头和麦克风的权限。在 Fall Creators Update 之后,安装新应用时会有权限提示,已安装应用的访问权限可以通过隐私设置查看。Windows 桌面电脑将和手机一样,拥有细粒度的权限控制。
安全
pigsrollaroundinthem(39396)
发表于2017年09月13日 20时09分 星期三
来自新希望
Edward Snowden 接受德国明镜的采访,讨论了广泛的话题,包括他的泄密、民主党全国委员会的黑客攻击,重回美国等。Snowden 认为大规模监视违反了法律,如果情报机构能局限在真正的威胁上那么他们能做出有利于社会的事。他指出,情报机构至今没有提供证据证明他们的大规模监视确实阻止了一些恐怖袭击。他承认自己的泄密并没有给政府带来多大的改变,但从某种程度上推动了通信加密。在 2013 年之前,大多数新闻网站都不知道加密是什么,而今天端对端加密已经成为默认,年轻一代也比上一代人更关心隐私。对于今天社交网络开始与政府合作打击恐怖主义和仇恨言论,Snowden 认为企业不应该干政府的工作,如果企业跨过了这条线将会以难以预见的代价造成难以预料的后果。他认为这是非常危险的:Google 成为互联网上的警长,决定法律是什么。Snowden 谈到自己曾处理过中国黑客入侵案例,他说中国黑客一般不会很好隐藏痕迹,他们打破窗,拿走一切能拿走的东西,笑着离开。但即便如此,他们也不会直接发动攻击,而是借助于世界各地的跳板,但你仍然能根据痕迹跟踪下去。Snowden 称他现在是俄罗斯的合法永久居民,这相当于绿卡,可以无限期续期。但他不确定俄罗斯未来是否会允许他继续留在该国,因为他常常在社交媒体上公开批评俄罗斯。Snowden 称他的女友仍然和他在一起,父母也经常来看望他,他希望有一天能回到美国。
安全
pigsrollaroundinthem(39396)
发表于2017年09月13日 15时50分 星期三
来自不是 123456 好评
Equifax 上周承认多达 1.4 亿美国用户的敏感信息泄漏,受到影响到还有少部分英国和加拿大用户。但根据该公司的安全实践,受影响的国家名单也许不止这几个。安全研究人员发现,Equifax 阿根廷的一个在线入口的管理账号是 admin/admin。该入口被 Equifax 阿根廷雇员管理信用报告纠纷。在使用管理员账号登录之后,安全研究人员发现可以访问阿根廷雇员的名字、员工编号和电子邮件地址,以及向系统添加、修改和删除账号。在接到通知后该入口已经下线。
安全
pigsrollaroundinthem(39396)
发表于2017年09月13日 15时39分 星期三
来自等待的时间是无限
Armis Labs 的研究人员在蓝牙实现中发现了八个漏洞,他们将其统称为 BlueBorne(PDF)。这些漏洞影响移动、桌面和物联网操作系统,包括了 Android、iOS、Windows 和 Linux,受影响的蓝牙支持设备超过 53 亿,从手机到笔记本电脑到汽车。研究人员称,漏洞无法用传统的安全解决方案阻止,攻击者利用漏洞不需要用户交互,也无需与目标设备配对。研究人员声称,BlueBorne 是至今发现的最严重的蓝牙漏洞。以前发现的蓝牙漏洞是在协议层,新发现的漏洞是在实现层,绕过了多种验证机制,允许完整控制目标设备。在软件和硬件供应商释出补丁前,用户最好关闭蓝牙,使用时再启用,用完立即关闭。Android 用户可以下载应用 BlueBorne Android App 来判断自己的设备是否受到影响。Linux 发行版开发商如 Redhat 已经释出了补丁,其它 Linux 发行版也都在准备补丁中,微软 Windows 或 Google Android 用户则可能需要等待更长时间,苹果 iOS 用户如果系统已经升级到 iOS 10,那么漏洞对你们影响不大,但如果仍然运行 iOS 9 或更古老的系统,那么设备仍然会受到 BlueBorne 漏洞的影响。
安全
pigsrollaroundinthem(39396)
发表于2017年09月12日 19时46分 星期二
来自不是天朝人
Daniel Stenberg 开发的 cURL 是一个用于文件传输的开源库和命令行工具,被广泛应用于各种计算平台。想象一下,这样一个广泛使用的工具如果被加入后门?Stenberg 称他被经常被问到这个问题,他表示从未观察到蓄意试着加入漏洞或后门的情况,有补丁会在几年后发现引入了安全问题,但不存在蓄意之说。当然他的话你可以不相信,但 cURL 是一个开源软件,如果你不相信可以检查你下载的代码,或从已经检查过代码的可信来源获得代码。Stenberg 称每一个正式版本他都用 GPG 签名,即便提供下载的服务器遭到了入侵,攻击者也不可能复制签名。风险在于用户从非官方来源下载了已预先构建好的 cURL。他个人保证 cURL 没有后门,他是瑞典人,住在瑞典,美国的机构没有合法权力强迫他加入后门,而瑞典的类似机构也没有合法权力施压他加入后门。cURL 项目诞生近二十年来只发现约 70 个安全漏洞,大部分都是编程错误引发的,他确定这些问题都不是有意引入的。
安全
pigsrollaroundinthem(39396)
发表于2017年09月12日 17时24分 星期二
来自只是个想法
在洛杉矶举行的开源峰会上,Linus Torvalds 谈论了 Linux 的安全、开发和协作。最近开源项目 Struts 的漏洞被指是 Equifax 数据泄露事件的根源,Linux 基金会执行董事 Jim Zemlin 请 Torvalds 谈谈 Linux 安全现状。Torvalds 称不存在绝对安全的概念,即使工作做到尽善尽美,也总是会有 bug 存在。他表示,Linux kernel 有多种安全检查去帮助识别漏洞,包括静态分析和模糊测试。他称在安全上已经取得了很多进步。Torvalds 同时表示对攻击 Linux 代码的人的才能留下了深刻印象。他希望这些聪明的人能站在他们这一边,在他们走向黑暗面前为 Linux 内核工作,帮助改进安全。
Chrome
pigsrollaroundinthem(39396)
发表于2017年09月12日 10时51分 星期二
来自谷歌
因为发现赛门铁克签发了大量有问题的证书,Google 官方博客公布了 Chrome 浏览器不信任赛门铁克证书的时间表:2017 年 10 月发布的 Chrome 62 将在 DevTools 中加入对即将不受信任的赛门铁克证书的警告;2017 年 12 月 1 日,DigiCert 将接手赛门铁克的证书签发业务;2018 年 4 月 17 日发布的 Chrome 66 将不信任 2016 年 6 月 1 日之前签发的证书;2018 年 10 月 23 日发布的 Chrome 70 将停止信任赛门铁克的旧证书。受影响的赛门铁克 CA 品牌包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL,几个独立运作密钥不受赛门铁克控制的次级 CA 得到了豁免,其中包括了苹果和 Google。Google 建议使用赛门铁克证书的网站及时更新到受信任证书。
安全
pigsrollaroundinthem(39396)
发表于2017年09月11日 21时12分 星期一
来自不要用 Android
移动安全公司 Lookout 的研究人员报告了与间谍程序 Xsser mRAT 有关系的先进移动恶意程序 xRAT。2014 年发现的 mRAT 主要攻击目标是香港的抗议者。新发现的 xRAT 与 mRAT 有着相同的代码结构、相同解密密钥,共享探试和命名约定,显示它们是由同一个团队开发。xRAT 的指令控制中心还与 Windows 恶意程序相关,显示这是一个跨平台攻击行动。xRAT 包含了更先进的功能,如动态加载额外代码,探测躲避、删除应用和文件、搜索 QQ 和微信通信数据。攻击者能实时的远程控制大部分功能。它能收集浏览器历史、短信、通讯录和呼叫历史、电子邮件数据库和账号密码,QQ 和微信数据,下载指定文件保存到指定位置,用 MD5 哈希数据搜索外置储存设备的特定文件,如果发现则收集,拨打电话、记录音频、以 root 权限执行特定指令,从hiapk[.]com 下载木马版的 QQ 应用。xRAT 还包含自我删除功能,能够删除攻击者指定的文件如输入法。