solidot新版网站常见问题,请点击这里查看。
安全
Wilson(42865)
发表于2023年01月06日 21时56分 星期五
来自忽然七日
在 LastPass 披露用户加密库被盗两周之后,消息应用 Slack 和软件测试和交付公司 CircleCI 先后披露了安全事故。Slack 称员工令牌凭证被盗,而 CircleCI 的事故可能更严重,其储存的客户秘密可能暴露,它建议客户轮换储存在其服务上的所有秘密。CircleCI 同时通知客户其 Project API 令牌失效需要更换。CircleCI 的服务被逾百万开发者使用,登录凭证、访问令牌等秘密暴露可能会对整个互联网的安全造成严重影响。CircleCI 建议客户检查下 12 月 21 日到 1 月 4 日期间的内部日志,看看是否有未经授权的访问。这可能意味着黑客在 CircleCI 的系统中可能潜伏了两周时间,如此长的时间足够收集行业最敏感的数据。

安全
Wilson(42865)
发表于2023年01月05日 15时39分 星期四
来自龙岛
在 12 月 25 日-30 日之间下载 PyTorch 框架的隔夜构建版本的用户会安装恶意版本的 torchtriton 依赖,窃取系统数据。PyTorch 项目建议用户卸载旧版本安装最新的隔夜构建版本。使用 PyTorch 稳定版本的用户不受影响。一位自称对此事负责的人士表示,恶意版本的 torchtriton 是一个研究项目的一部分,但不小心出差错了。他们对此表示道歉,称窃取的数据已经全部删除。这是最新一起的依赖混淆攻击。

安全
Wilson(42865)
发表于2022年12月29日 21时24分 星期四
来自王牌飞行员
恶意程序的运营者日益滥用 Google Ads 将恶意程序传播给搜索合法软件的用户。受害者包括了 Grammarly、MSI Afterburner、Slack、Dashlane、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird 和 Brave。黑客会创建上述项目官方网站的克隆,但将用户点击下载的软件替换为恶意程序。通过这种方法传播的恶意程序包括 Raccoon Stealer 的变种, Vidar Stealer 的定制版本, IcedID 恶意程序加载器。当广告商利用 Google Ads 发布广告时,如果 Google 检测到目标网站是恶意的,广告会删除。恶意程序的运营者利用了一种简单的方法绕过了这种检测——方法是首先将点击广告的用户带到没有恶意程序的网站,然后再重定向到克隆网站。

安全
Wilson(42865)
发表于2022年12月25日 19时53分 星期日
来自图夫航行记
一名用户名 Ryushi 的用户在黑客论坛 Breached 兜售 4 亿 Twitter 用户的数据库,声称是利用 Twitter API 的漏洞抓取的,包括了电子邮件、用户名、姓名、粉丝数、创建日期和电话号码。这位用户公开了几位名人的样本,排在最前面的是美国民主党议员 AOC(Alexandria Ocasio-Cortez)。黑客还建议 Twitter 或马斯克(Elon Musk)花钱购买该数据库,威胁他们将会面临因数亿用户数据被抓取而面临欧盟的 GDPR 巨额罚款,表示如果 Twitter 购买的话将会停止出售。黑客利用的是今年早些时候已经修补的漏洞,上个月一个包含 540 万 Twitter 账号的数据库在黑客论坛免费共享,最新披露的数据规模则包含了绝大部分 Twitter 用户。

安全
Wilson(42865)
发表于2022年12月23日 20时53分 星期五
来自好兆头
美国 FBI 在一份公告中推荐使用广告屏蔽工具,它警告网络罪犯正利用搜索结果中的广告窃取或勒索受害者的钱财。FBI 称网络罪犯购买广告冒充合法品牌如加密货币交易所,而广告通常会显示在搜索结果的顶部,用户不注意可能区分不了广告和搜索结果。恶意广告还诱骗用户安装伪装成合法应用的恶意程序,可能会窃取密码和使用勒索软件加密文件。FBI 的一个建议是使用广告屏蔽工具。通过安装广告屏蔽工具,潜在的受害者可能会看不到任何广告,更容易找到合法网站。广告屏蔽工具也有助于拦截网站不必要的臃肿部分,有利于隐私保护。FBI 称用户可以选择关闭广告屏蔽工具,选择允许或拒绝网站的所有广告。

安全
Wilson(42865)
发表于2022年12月23日 14时48分 星期五
来自暗影徘徊
提供密码管理服务的 LastPass 披露了最新安全事故的调查结果——用户信息和密码库被盗,但短时间内黑客要破解用户的主密码是非常困难的。LastPass 称它最近在第三方云储存服务监测到异常活动,它立即启动了调查。调查发现,黑客利用了今年 8 月入侵开发环境中窃取到的情报,黑客在 8 月的入侵中窃取了部分源代码和私有技术信息,其中包括了 LastPass 在云储存服务中用于访问和解密部分存储卷的凭证和密钥。黑客随后拷贝了用户信息的备份和用户密码库的备份。用户信息包括了公司名称、终端用户名称、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址。用户密码库使用了 256 位 AES 密钥加密,只能通过源自用户主密码使用 Zero Knowledge 零知识架构的唯一加密密钥解密。LastPass 没有储存用户的主密码。黑客可能会通过暴力破解尝试猜出用户的主密码,LastPass 认为这非常困难,它对客户可能遭遇钓鱼攻击发出了警告。

安全
Wilson(42865)
发表于2022年12月22日 17时39分 星期四
来自飞向火星
安全公司 Group-IB 的研究人员报告,名为教父(Godfather)的 Android 银行木马正将 16 个国家的银行和加密货币应用用户作为攻击目标,涵盖美国、土耳其、西班牙、加拿大、德国、法国和英国的 215 家国际银行、94 个加密货币钱包和 110 个加密货币交易平台。研究人员报告,教父的一项有意思功能是不会攻击俄语用户或前苏联国家用户的语言,其中包括阿塞拜疆语、亚美尼亚语、白俄语、哈萨克语、吉尔吉斯语、摩尔多瓦语、乌兹别克语或塔吉克语。这可能表明教父的作者是俄语开发者。教父被认为是 Anubis 银行木马的新版本,两者共享了代码库。黑客在窃取用户的凭证和绕过二因素认证之后会将受害者银行账户和加密钱包内的资金全部转掉。

安全
Wilson(42865)
发表于2022年12月21日 21时59分 星期三
来自开普罗纳的魔法师
身份认证管理服务商 Okta 在一封名为机密信息的邮件中证实它在 GitHub 的私有代码库被入侵源代码被盗。Okta 今年发生了多起安全事故,早些时候黑客组织 Lapsus$ 声称访问了 Okta 管理终端和部分客户数据。最新这起事故是 GitHub 最早发现的,它警告 Okta 其代码库有可疑访问。随后的调查发现黑客拷贝了该公司私有库的源代码,但没有未经授权访问了该公司的系统或客户数据。黑客访问了 Okta Workforce Identity Cloud (WIC)代码库。该公司表示将在公司博客上公布更多信息。

安全
Wilson(42865)
发表于2022年12月20日 23时22分 星期二
来自歧义性标题
GitHub 官方博客宣布腾讯微信成为其秘密扫描项目的合作伙伴。不是腾讯微信会秘密扫描 GitHub 的所有代码库,而是 GitHub 有一个项目叫秘密扫描(secret scanning),旨在防止开发者的私有令牌对外泄露。开发者在公开项目中硬编码安全凭证日益成为一个严重的安全隐患,秘密扫描就是在发现这些机密信息后警告开发者。与微信合作意味着 GitHub 将在公开代码库中扫描微信官方帐户和小程序开发者相关的私有令牌,发现之后允许微信撤销这些暴露在外的令牌。

安全
Wilson(42865)
发表于2022年12月16日 22时42分 星期五
来自梦海
今年早些时候,最大代码托管平台 GitHub 宣布到 2023 年底所有上传代码的用户都必须使用双因素认证(2FA)。此举旨在预防开发者的账号被劫持,防止攻击者劫持账号后上传恶意代码对下游项目发动供应链攻击。现在 GitHub 官方博客详述了逐步推广 2FA 的流程:从 3 月开始要求不同组的开发者逐渐启用 2FA,这些开发者或者发布了 GitHub 或 OAuth 应用或软件包,或者创建了一个发布,或者是企业和机构的管理员,向重要的 npm、OpenSSF、PyPI 或 RubyGems 软件包贡献了代码,向前 400 万公开和私有的软件包贡献代码。相关开发者将会收到邮件通知,要求在截止期限前完成启用 2FA,这个期限通常是间隔 45 天。在这期间开发者将会每天收到警告提示。

安全
wanwan(42055)
发表于2022年12月14日 19时41分 星期三
来自终极失控
微软取消了多个 Microsoft 硬件开发者账号,原因是这些账号通过 Windows Hardware Developer Program 认证程序递交的驱动在获得签名之后被用于包括勒索软件在内的网络攻击。微软称,安全公司 SentinelOne、Mandiant 和 Sophos 在 10 月 19 日报告了这些活动,随后的调查发现 Microsoft Partner Center 的多个开发者账号参与了递交恶意驱动获得微软签名的活动。安全研究人员称,他们发现了一种新的工具包,包含了名为 STONESTOP (加载器) 和 POORTRY(内核模式驱动)的组件被用于网络攻击,其中 POORTRY 有微软签名。

安全
Wilson(42865)
发表于2022年12月05日 22时29分 星期一
来自挽救计划
俄罗斯安全公司卡巴斯基披露了一种冒充勒索软件但实际上旨在破坏数据的恶意程序 CryWiper——名字来自于恶意程序破坏文件使用的扩展名 .cry。该恶意程序的攻击目标是俄罗斯法庭和市长办公室,但更多细节未知。卡巴斯基称,CryWiper 不破坏任何 .exe、.dll、.lnk、.sys 或 .msi 扩展的文件,也放过了重要的系统文件夹,它的破坏目标是数据库、档案和用户文件。目前只知道的是 CryWiper 专门攻击俄罗斯目标。卡巴斯基称,CryWiper 是用 C++ 编写的,用 MinGW-w64 和 GCC 编译器编译,这有点不同寻常,大部分 C++ 恶意程序是用微软的 Visual Studio 编译。恶意程序应该是在非 Windows 系统上开发的。

安全
Wilson(42865)
发表于2022年12月02日 18时15分 星期五
来自火星棋士
Android OEM 厂商使用平台证书或平台密钥给操作系统和核心应用签名,如果恶意程序使用了相同密钥签名,那么它们将被分配到高权限的 android.uid.system 用户 ID,拥有系统级访问权限。Google Android 安全团队的 Łukasz Siewierski 报告多个恶意应用样本使用了 10 个平台证书,这些证书属于 OEM 厂商如三星、LG、锐伟科技和联发科。Google 已经通知了所有受影响的厂商,并建议它们轮换平台证书,调查证书是如何泄露的。

安全
Wilson(42865)
发表于2022年12月02日 16时43分 星期五
来自电波骑士
过去十多年内存安全漏洞占到了所有产品漏洞的 65% 以上,但从 2019 到 2022 年 Android 中内存安全漏洞的比例从 76% 降至了 35%,2022 年是第一年内存安全漏洞不再占到 Android 漏洞的半数以上。Google 的 Jeffrey Vander Stoep 表示,虽然相关性不能代表因果性,但内存安全漏洞的减少与采用 Rust 语言有关。 Android 12 开始支持 Rust 作为 C/C++ 的内存安全替代语言。在 Android 13 中,所有新增原生代码(C/C++/Rust) 中有 21% 是 Rust 编写的,Android 开源项目 AOSP 中有大约 150 万行 Rust 代码,到目前为止 Rust 代码中没有发现任何内存安全漏洞。Google 并不预计这个数字会永远保存为零,但相对于 Rust 的代码行数,Rust 实现了其预期的目的,即防止最常见的内存安全漏洞。

安全
Wilson(42865)
发表于2022年12月01日 17时46分 星期四
来自血之遗产
11 月 8 日,加拿大 Calgary 大学教授 Joel Reardon 和 UC 伯克利的 Serge Egelman 在 Mozliia 的邮件列表上报告,他们发现 TrustCor CA 与间谍软件开发商 Measurement Systems 和 Packet Forensics 存在千丝万缕的关系,其中后者是一家美国军方的承包商。虽然没有发现 TrustCor 签发了有问题的证书,两位研究人员对这一关联性表达了担忧。TrustCor 的高管 Rachel McPherson 在邮件列表上做出了回应,否认与 Measurement Systems 或 Packet Forensics 有任何业务往来或任何关联,但其回应未能令人满意。Mozilla Firefox 和 Microsoft Edge 宣布将停止信任 TrustCor 签发的新证书,其他浏览器开发商预计将会很快跟进。

安全
Wilson(42865)
发表于2022年12月01日 13时28分 星期四
来自金刚
提供密码管理服务的 LastPass 披露了最新的安全事故。LastPass 称它最近在第三方云储存服务监测到异常活动,它立即启动了调查。初步结论是这次事故与今年八月的安全事故有关联。在今年 8 月黑客通过一个入侵的开发者账号获得了对部分开发环境的访问权限,窃取了部分源代码和私有技术信息。LastPass 称正在判断最新事故的影响范围,它表示客户的密码仍然是安全的,它利用了行业标准的 Zero Knowledge 零知识架构确保它也不知道客户的主密码。

安全
1
Wilson(42865)
发表于2022年11月30日 11时35分 星期三
来自心灵之眼
最近申请破产的 FTX 交易平台前 CEO Sam Bankman-Fried(SBF) 接受了加密货币视频博主 Tiffany Fong 的两次电话采访。第一次采访是在 11 月 6 日,11 月 29 日发布。在采访中他被问道了一些尖锐的问题,如 FTX 的系统是否存在后门,允许 SBF 在不惊动其他人的情况下执行命令改变公司财务记录。SBF 对此表示惊讶,称他完全不懂编程,从未打开过 FTX 的任何代码。SBF 广泛参与了政治活动,曾向美国民主党捐款,他表示其实他给民主党和共和党的捐款金额基本相同,只是给共和党的捐款没有摆在明处。对于公司倒闭及围绕他的丑闻,SBF 称他每天醒来都会花几小时反思。

安全
Wilson(42865)
发表于2022年11月29日 23时00分 星期二
来自洋槐树下
Google Project Zero 安全团队想要消灭 0day,它采用的一种方法是公开督促企业加快修复漏洞,其中包括 Google 自己。在最新的官方博客中,它批评了 Android 和 Pixel 团队。今年 6 月,Project Zero 研究员 Maddie Stone 报告了一个位于 ARM GPU 驱动中正被利用的提权漏洞,另一位研究员 Jann Horn 接下来三周在驱动中发现了多个相关漏洞,这些漏洞允许攻击者获得系统的完整访问权限,绕过 Android 的权限模型。他们向 ARM 报告了漏洞,ARM 在 7 月和 8 月修复了漏洞并公布相关源代码,然而 Android 至今没有给用户打上补丁。这一次掉链子的是 Google 和 Android OEM。高通使用了自己的 GPU,但 Google 的 Tensor SoC 使用了 ARM GPU,三星和联发科也都使用了 ARM GPU,这意味着受影响的设备数量多达数百万部。Google 接受采访时表示它正在测试补丁,将会在未来几周释出。

安全
Wilson(42865)
发表于2022年11月28日 18时34分 星期一
来自荷鲁斯崛起
逾 540 万 Twitter 账号信息在一个黑客论坛免费共享。今年早些时候黑客以 3 万美元的价格兜售这批数据。黑客利用的漏洞是在 2022 年 1 月 1 日 HackerOne 用户“zhirinovskiy”报告的, Twitter 的 Android 客户端的身份验证环节存在漏洞,允许攻击者获取目标账号相关的电话号码和/或电子邮件地址。Twitter 确认了这一漏洞,奖励了 zhirinovskiy 5,040 美元奖金。但在修复前,可能有多位黑客利用了该漏洞窃取了数据。

Chrome
faif(889)
发表于2022年11月26日 22时34分 星期六
来自泰山归林
Google 释出了紧急更新修复了一个正被利用的 Chrome 桌面浏览器 0day,这是今年 Chrome 的第 8 个 0day。该高危漏洞编号为 CVE-2022-4135,为 GPU 中的一个堆溢出漏洞,由 Google Threat Analysis Group 的 Clement Lecigne 在 11 月 22 日发现。在大部分用户完成更新前 Google 没有披露漏洞细节,它建议桌面用户立即更新到新版本 107.0.5304.122 。Google Chrome 今年发现的前 7 个 0day 是 2 月 14 日的 CVE-2022-0609、3 月 25 日的 CVE-2022-1096、4 月 14 日的 CVE-2022-1364、7 月 4 日的 CVE-2022-2294 、8 月 17 日的 CVE-2022-2856、9 月 2 日的 CVE-2022-3075,10 月 28 日的 CVE-2022-3723。