adv

solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
安全
pigsrollaroundinthem(39396)
发表于2017年09月17日 19时56分 星期日
来自文明举报
安全研究员 Ed Foudil 向互联网工程任务组(IETF)递交了一个 Security.txt 草案,寻找标准化网站的安全政策,这一文件类似定义 Web 和搜索引擎爬虫政策的 robots.txt 文件。举例来说,如果一名安全研究人员发现了一个网站的漏洞,他可以访问该网站的 security.txt 文件,获取如何联络公司和递交安全漏洞报告。security.txt 文件包含了如下信息: #This is a comment Contact: security@example.com Contact: +1-201-555-0123 Contact: https://example.com/security Encryption: https://example.com/pgp-key.txt Acknowledgement: https://example.com/acknowledgements.html Disclosure: Full 但就像一些爬虫会无视 robots.txt 去抓取网站内容,security.txt 看起来也容易被滥用,比如被垃圾信息发送者滥用。
安全
pigsrollaroundinthem(39396)
发表于2017年09月15日 16时31分 星期五
来自机器人容易愚弄
安全公司 Check Point 的研究人员在官方应用市场 Google Play 发现至少 50 个应用会在用户不知情下订阅欺骗性的付费短信服务和收取费用。研究人员将这个恶意应用家族称为 ExpensiveWall,这些应用通过打包隐藏恶意功能躲避 Google Play 的恶意程序扫描。一旦安装,它们会悄悄上传手机号码和硬件识别符等信息到攻击者控制的服务器,使用手机号码注册增值服务,发送假的增值短信。这些应用的下载量在 590 万到 2110 万之间。Google 在接到通知后移除了应用,但攻击者再次成功渗透到官方市场,在移除前又安装到了5000 多台设备上。
安全
pigsrollaroundinthem(39396)
发表于2017年09月15日 10时09分 星期五
来自然而人家上面有人
匿名读者 写道 "火狐发表公开评论,认为奇虎 360 工程师写的 StartCom 程序是灾难性的(security disaster),StartCom 的新 PHP 代码由奇虎 360 工程师编写,到处都是漏洞 (full of holes),注释很差(poorly commented),很少或根本没有测试(few or no tests)。

之前,StartCom 被发现使用交叉签名逃避浏览器的限制。火狐将把交叉签名证书也加入黑名单,并明令禁止任何机构对 StartCom 进行交叉签名,逃过火狐的限制。"

安全
pigsrollaroundinthem(39396)
发表于2017年09月14日 20时20分 星期四
来自快钱
就像 Chrome 扩展出售之后被加入广告程序,一款名叫 Display Widget 的 WordPress 插件出售之后被新拥有者加入了后门。Display Widget 原功能是被 WordPress 网站用于控制 Widget 的展示,在被 WordPress.org 团队移除前被超过 20 万网站使用。Stephanie Wells 是插件的最早开发者,她在将精力集中到高级版的插件之后,将开源版本出售。插件的新拥有者在 6 月 21 日释出了一个新版本,很快这个新版本被发现会从第三方服务器下载 38MB 的代码,收集网站的用户访问数据。在遭到用户投诉之后,WordPress.org 将其移除。但拥有者设法恢复了插件,释出了一个新版本 v2.6.1,再次被投诉再次被移除,但对方再次设法发布了新版本 2.6.2,最后一个版本是 9 月 2 日释出的 2.6.3。存在后门版本主要是  v2.6.1- 2.6.3。
安全
pigsrollaroundinthem(39396)
发表于2017年09月14日 15时40分 星期四
来自快倒闭
Equifax 上周曝出 1.43 亿美国用户的敏感信息泄露,当时它声称黑客利用了一个 Web 应用的漏洞,但并没有披露细节。本周,Equifax 发布了更新,证实黑客利用的是开源项目 Apache Struts 的漏洞 CVE-2017-5638。Apache Struts 是在今年 3 月 6 日释出了补丁修复了该漏洞,而黑客对 Equifax 的入侵发生在 5 月中旬,也就是 Equifax 没有及时打上补丁,让黑客能利用已修复的漏洞入侵其系统。
安全
pigsrollaroundinthem(39396)
发表于2017年09月14日 11时42分 星期四
来自不给权限不运行
软件巨人透露将允许用户对应用在设备上能做什么有更多的控制。在访问潜在敏感的硬件和软件功能前,Windows 10 Fall Creators Update 将询问用户给予应用访问权限。举例来说,你的视频记录应用会要求访问摄像头和麦克风的权限。在 Fall Creators Update 之后,安装新应用时会有权限提示,已安装应用的访问权限可以通过隐私设置查看。Windows 桌面电脑将和手机一样,拥有细粒度的权限控制。
安全
pigsrollaroundinthem(39396)
发表于2017年09月13日 20时09分 星期三
来自新希望
Edward Snowden 接受德国明镜的采访,讨论了广泛的话题,包括他的泄密、民主党全国委员会的黑客攻击,重回美国等。Snowden 认为大规模监视违反了法律,如果情报机构能局限在真正的威胁上那么他们能做出有利于社会的事。他指出,情报机构至今没有提供证据证明他们的大规模监视确实阻止了一些恐怖袭击。他承认自己的泄密并没有给政府带来多大的改变,但从某种程度上推动了通信加密。在 2013 年之前,大多数新闻网站都不知道加密是什么,而今天端对端加密已经成为默认,年轻一代也比上一代人更关心隐私。对于今天社交网络开始与政府合作打击恐怖主义和仇恨言论,Snowden 认为企业不应该干政府的工作,如果企业跨过了这条线将会以难以预见的代价造成难以预料的后果。他认为这是非常危险的:Google 成为互联网上的警长,决定法律是什么。Snowden 谈到自己曾处理过中国黑客入侵案例,他说中国黑客一般不会很好隐藏痕迹,他们打破窗,拿走一切能拿走的东西,笑着离开。但即便如此,他们也不会直接发动攻击,而是借助于世界各地的跳板,但你仍然能根据痕迹跟踪下去。Snowden 称他现在是俄罗斯的合法永久居民,这相当于绿卡,可以无限期续期。但他不确定俄罗斯未来是否会允许他继续留在该国,因为他常常在社交媒体上公开批评俄罗斯。Snowden 称他的女友仍然和他在一起,父母也经常来看望他,他希望有一天能回到美国。
安全
pigsrollaroundinthem(39396)
发表于2017年09月13日 15时50分 星期三
来自不是 123456 好评
Equifax 上周承认多达 1.4 亿美国用户的敏感信息泄漏,受到影响到还有少部分英国和加拿大用户。但根据该公司的安全实践,受影响的国家名单也许不止这几个。安全研究人员发现,Equifax 阿根廷的一个在线入口的管理账号是 admin/admin。该入口被 Equifax 阿根廷雇员管理信用报告纠纷。在使用管理员账号登录之后,安全研究人员发现可以访问阿根廷雇员的名字、员工编号和电子邮件地址,以及向系统添加、修改和删除账号。在接到通知后该入口已经下线。
安全
pigsrollaroundinthem(39396)
发表于2017年09月13日 15时39分 星期三
来自等待的时间是无限
Armis Labs 的研究人员在蓝牙实现中发现了八个漏洞,他们将其统称为 BlueBorne(PDF)。这些漏洞影响移动、桌面和物联网操作系统,包括了 Android、iOS、Windows 和 Linux,受影响的蓝牙支持设备超过 53 亿,从手机到笔记本电脑到汽车。研究人员称,漏洞无法用传统的安全解决方案阻止,攻击者利用漏洞不需要用户交互,也无需与目标设备配对。研究人员声称,BlueBorne 是至今发现的最严重的蓝牙漏洞。以前发现的蓝牙漏洞是在协议层,新发现的漏洞是在实现层,绕过了多种验证机制,允许完整控制目标设备。在软件和硬件供应商释出补丁前,用户最好关闭蓝牙,使用时再启用,用完立即关闭。Android 用户可以下载应用 BlueBorne Android App 来判断自己的设备是否受到影响。Linux 发行版开发商如 Redhat 已经释出了补丁,其它 Linux 发行版也都在准备补丁中,微软 Windows 或 Google Android 用户则可能需要等待更长时间,苹果 iOS 用户如果系统已经升级到 iOS 10,那么漏洞对你们影响不大,但如果仍然运行 iOS 9 或更古老的系统,那么设备仍然会受到 BlueBorne 漏洞的影响。
安全
pigsrollaroundinthem(39396)
发表于2017年09月12日 19时46分 星期二
来自不是天朝人
Daniel Stenberg 开发的 cURL 是一个用于文件传输的开源库和命令行工具,被广泛应用于各种计算平台。想象一下,这样一个广泛使用的工具如果被加入后门?Stenberg 称他被经常被问到这个问题,他表示从未观察到蓄意试着加入漏洞或后门的情况,有补丁会在几年后发现引入了安全问题,但不存在蓄意之说。当然他的话你可以不相信,但 cURL 是一个开源软件,如果你不相信可以检查你下载的代码,或从已经检查过代码的可信来源获得代码。Stenberg 称每一个正式版本他都用 GPG 签名,即便提供下载的服务器遭到了入侵,攻击者也不可能复制签名。风险在于用户从非官方来源下载了已预先构建好的 cURL。他个人保证 cURL 没有后门,他是瑞典人,住在瑞典,美国的机构没有合法权力强迫他加入后门,而瑞典的类似机构也没有合法权力施压他加入后门。cURL 项目诞生近二十年来只发现约 70 个安全漏洞,大部分都是编程错误引发的,他确定这些问题都不是有意引入的。
安全
pigsrollaroundinthem(39396)
发表于2017年09月12日 17时24分 星期二
来自只是个想法
在洛杉矶举行的开源峰会上,Linus Torvalds 谈论了 Linux 的安全、开发和协作。最近开源项目 Struts 的漏洞被指是 Equifax 数据泄露事件的根源,Linux 基金会执行董事 Jim Zemlin 请 Torvalds 谈谈 Linux 安全现状。Torvalds 称不存在绝对安全的概念,即使工作做到尽善尽美,也总是会有 bug 存在。他表示,Linux kernel 有多种安全检查去帮助识别漏洞,包括静态分析和模糊测试。他称在安全上已经取得了很多进步。Torvalds 同时表示对攻击 Linux 代码的人的才能留下了深刻印象。他希望这些聪明的人能站在他们这一边,在他们走向黑暗面前为 Linux 内核工作,帮助改进安全。
Chrome
pigsrollaroundinthem(39396)
发表于2017年09月12日 10时51分 星期二
来自谷歌
因为发现赛门铁克签发了大量有问题的证书,Google 官方博客公布了 Chrome 浏览器不信任赛门铁克证书的时间表:2017 年 10 月发布的 Chrome 62 将在 DevTools 中加入对即将不受信任的赛门铁克证书的警告;2017 年 12 月 1 日,DigiCert 将接手赛门铁克的证书签发业务;2018 年 4 月 17 日发布的 Chrome 66 将不信任 2016 年 6 月 1 日之前签发的证书;2018 年 10 月 23 日发布的 Chrome 70 将停止信任赛门铁克的旧证书。受影响的赛门铁克 CA 品牌包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL,几个独立运作密钥不受赛门铁克控制的次级 CA 得到了豁免,其中包括了苹果和 Google。Google 建议使用赛门铁克证书的网站及时更新到受信任证书。
安全
pigsrollaroundinthem(39396)
发表于2017年09月11日 21时12分 星期一
来自不要用 Android
移动安全公司 Lookout 的研究人员报告了与间谍程序 Xsser mRAT 有关系的先进移动恶意程序 xRAT。2014 年发现的 mRAT 主要攻击目标是香港的抗议者。新发现的 xRAT 与 mRAT 有着相同的代码结构、相同解密密钥,共享探试和命名约定,显示它们是由同一个团队开发。xRAT 的指令控制中心还与 Windows 恶意程序相关,显示这是一个跨平台攻击行动。xRAT 包含了更先进的功能,如动态加载额外代码,探测躲避、删除应用和文件、搜索 QQ 和微信通信数据。攻击者能实时的远程控制大部分功能。它能收集浏览器历史、短信、通讯录和呼叫历史、电子邮件数据库和账号密码,QQ 和微信数据,下载指定文件保存到指定位置,用 MD5 哈希数据搜索外置储存设备的特定文件,如果发现则收集,拨打电话、记录音频、以 root 权限执行特定指令,从hiapk[.]com 下载木马版的 QQ 应用。xRAT 还包含自我删除功能,能够删除攻击者指定的文件如输入法。
安全
pigsrollaroundinthem(39396)
发表于2017年09月11日 20时09分 星期一
来自这是特性
微软拒绝修复 Cisco Talos 安全研究人员在 Edge 浏览器中发现的一个安全 bug,称设计就是如此。苹果 和 Google 则修复了各自浏览器的类似 bug—— Safari (CVE-2017-2419) 和 Chrome (CVE-2017-5033)。Talos 的研究人员称,漏洞可被归类为内容安全策略绕过。内容安全策略是配置 HTTP 头和资源如何加载的一种机制,被用于执行同源策略。绕过内容安全策略可允许攻击者加载远程服务器上的恶意代码,执行侵入性操作如收集 cookies 或记录按键。
安全
pigsrollaroundinthem(39396)
发表于2017年09月11日 16时46分 星期一
来自黑客更早发现
Equifax 上周承认多达 1.43 亿用户的敏感信息外泄,Apache Struts Web 框架也在同一时间爆出了一个有九年历史的漏洞,该漏洞编号为 CVE-2017-9805。Equifax 称黑客利用了 Web 应用的漏洞访问了某些文件,而 Apache Struts 项目被人怀疑与此有关。Apache Struts 项目今年爆出了两个漏洞,一个是在 3 月,另一个就是在上周。目前不清楚黑客究竟利用了什么漏洞。Apache Struts 项目为此发表声明澄清有关的传言。它解释说,在九年之后发现漏洞和已经知道漏洞几年是有重大区别的。如果是后者,开发团队将需要非常困难的给出足够好的解释为什么没有更早修复漏洞。但这里的情况并非如此,在接到漏洞报告之后,他们尽可能快的修复了漏洞。这个问题是一个常见的软件工程问题,开发者写代码去实现某个想要的功能,但并没有意识到某些不想要的副作用。
Chrome
pigsrollaroundinthem(39396)
发表于2017年09月11日 13时25分 星期一
来自在中国关闭
Google Chrome 63 将引入探测中间人攻击的新安全功能。在用户浏览器和目标网站服务器之间的恶意第三方可能会尝试拦截加密链接,但在大部分情况下攻击者未能正确重写加密链接,导致了浏览器能检测到的 SSL 错误。当浏览器探测到在短时间内发生了此类的大量 SSL 错误,它会弹出中间人攻击警告。Chrome 63 预计于 12 月 5 日发布,用户已能通过开发分支测试该功能。
安全
pigsrollaroundinthem(39396)
发表于2017年09月09日 22时08分 星期六
来自破产
在信用巨头 Equifax 承认多达 1.43 亿用户信息失窃之后,一项提议中的集体诉讼已经递交到美国波特兰联邦法庭。Equifax 的用户指控该公司疏忽未能保护用户数据,选择省钱而不是投入资金到阻止黑客攻击的技术措施上。用户失窃的信息包括了社保号码、地址、驾照和出生日期,部分用户的信用卡号码也失窃。Equifax 是在 7 月底发现黑客攻击,但当时没有告知客户,而是等了一个多月才承认,期间该公司的三名高管还套现了 180 万美元的股票。这起集体诉讼寻求赔偿 700 亿美元。
安全
pigsrollaroundinthem(39396)
发表于2017年09月08日 20时32分 星期五
来自需要超声感应器
浙江大学的六名研究人员在预印本网站上发表论文(PDF),描述了利用超声向语音识别系统发出人耳听不见的指令的攻击方法,他们将其称之为海豚攻击——海豚能发出高频声音。人耳听不见频率超过 20 kHz 的声音,而麦克风软件通常会丢弃高于该频率的信号,但从技术上说,这些信号仍然能探测到。语音激活的设备会应用低通滤波器去消除 20 kHz 以上的信号,研究人员称他们找到了方法绕过对信号的过滤,方法是在信号发射前将语音设备能响应的低频语音信号调制到超声载波中。研究人员在流行语音识别系统 Siri、Google Now、Samsung S Voice、Huawei HiVoice、Cortana 和 Alexa 上验证了海豚攻击,他们成功激活 Siri 去启动 FaceTime 呼叫,激活 Google Now 将手机切换到飞行模式,甚至操纵了一辆奥迪汽车的导航系统。研究人员也提出了抵御海豚攻击的方法。
安全
pigsrollaroundinthem(39396)
发表于2017年09月08日 18时38分 星期五
来自真特性
Windows 内核的一个编程 Bug 会阻止安全软件识别恶意程序。Bug 影响 PsSetLoadImageNotifyRoutine,它是部分安全软件在代码加载到内核或用户空间时对其进行识别的底层机制之一。攻击者能利用该 Bug 让 PsSetLoadImageNotifyRoutine 返回无效的模块名,将恶意程序伪装成合法操作。安全研究员称,该 bug 影响 Windows 2000 之后的所有版本,包括最近发布的 Windows 10。研究人员称,微软不认为这是一个安全问题。
安全
pigsrollaroundinthem(39396)
发表于2017年09月08日 11时55分 星期五
来自以后只会多不会少
信用巨头 Equifax 遭黑客入侵,1.43 亿美国用户信息泄露,同时曝光的还有少量加拿大和英国居民的有限个人信息。泄露的用户信息包括名字、社会安全号、出生日期和地址,某些情况还有驾照号码。黑客还访问了 209,000 名美国用户的信用卡号码,以及 182,000 名美国用户的包含个人身份信息的纠纷文件。Equifax 表示,未经授权的访问从 5 月中旬一直持续到 7 月,它是在 7 月 29 日发现了黑客活动。彭博社报道称,在 Equifax 周四正式披露用户信息泄露前,有三名执行官出售了价值 180 万美元的股票。Equifax 声称这三名高管并没有被告知黑客攻击事件。