solidot新版网站常见问题,请点击这里查看。
adv
安全
WinterIsComing(31822)
发表于2021年05月08日 21时59分 星期六
来自薄红天女
Epic Games 和苹果公司围绕《堡垒之夜》内置支付系统的诉讼案披露了 2015 年发生的至今苹果生态系统最严重安全事故的影响规模。2015 年,有中国黑客利用 Xcode 编译器在中国网络下载缓慢的弱点以及中国大型互联网企业缺乏内部监管的缺点发布了修改版本,修改版的 Xcode 编译器能在编译中将后门恶意程序嵌入到 iOS 应用中,该恶意程序被称为 XcodeGhost,一开始主要影响中国,但之后扩散到美国等地区。根据苹果内部电子邮件披露的数据,有超过 2500 款应用感染了 XcodeGhost,这些应用被全世界 1.28 亿用户下载,其中美国用户 1800 万,总下载量 2.03 亿次。中国占到了 55% 的受影响用户和 66% 的下载量。
安全
WinterIsComing(31822)
发表于2021年05月08日 09时35分 星期六
来自小无知气球旅行
全世界大约有三成智能手机受高通调制解调器芯片的一个新漏洞的影响。该漏洞编号 CVE-2020-11292,位于高通的 mobile station modem (MSM)芯片中。该芯片用于连接移动网络,是最广泛使用的移动芯片之一,全世界大约四成的智能手机使用了高通的 MSM 芯片,但真正受影响的只有三成。以色列安全公司 Check Point 的研究人员从 Qualcomm MSM Interface (QMI)协议中发现了一个漏洞,该协议允许芯片与手机操作系统进行通信,使用 MSM 芯片的手机没有都包含 QMI 协议。研究人员称,通过 QMI 协议接收的畸形 Type-Length-Value (TLV)数据包能触发缓冲溢出,允许攻击者执行其代码。研究人员称,漏洞利用无法隐藏在第三方应用,但能隐藏在蜂窝通信或多媒体内容中。Check Point 在去年通知了高通,补丁也已经提供给了 Android 厂商,但不清楚 Android 厂商是否会向受影响设备推送补丁。
安全
WinterIsComing(31822)
发表于2021年05月06日 15时41分 星期四
来自漂流在时间里的人
安全公司 SentinelLabs 披露戴尔 BIOS 驱动 DBUtil 2.3 发现了 5 个高危漏洞。存在漏洞的版本有 12 年历史,被预装在数以亿计的戴尔电脑上。这些漏洞允许攻击者在本地提权。五个漏洞包括两个内存错误和两个缺少输入验证,以及一个代码逻辑问题。安全研究人员是在 2020 年 12 月通知戴尔公司,它将在 2021 年 6 月 1 日公布 Proof of Concept 代码。SentinelLabs 的研究人员不是第一个发现和报告漏洞的,事实上从 2019 年起有三名安全研究员向戴尔报告了漏洞,但不清楚为什么戴尔直到现在才修复漏洞。
安全
WinterIsComing(31822)
发表于2021年05月06日 12时55分 星期四
来自月海沉船
去年哥伦比亚 GDP 下跌了 6.8%,政府提议改革税法以缓解经济危机。拟议中的税改将工资税率的最低金额降至月收入 684 美元(或 260 万比索),许多以前不需要缴纳个税的人都需要缴税了。政府还同时上调了企业税。这一提议引发了哥伦比亚民众的抗议,迫使总统上周日宣布取消了税改。但民众没有停止抗议,他们呼吁政府改善养老金、医疗和教育系统。本周二哥伦比亚西部城市卡利的抗议发生了流血事件,安全武装对抗议者开火导致了至少 19 人死亡。事故发生期间,卡利市的网络也出现了中断或难以连接
安全
WinterIsComing(31822)
发表于2021年05月01日 22时25分 星期六
来自泰坦棋手
科技公司和执法机构组成的全球联盟呼吁对勒索软件采取积极和紧急的行动。成员包括微软、亚马逊和 FBI 的勒索软件任务组(Ransomware Task Force,RTF)向拜登政府递交了报告,警告在短短数年内勒索软件变成了一个严重的国家安全威胁、公共健康和安全问题。勒索软件黑帮经常将学校和医院作为攻击目标。FBI 称,去年有接近 2400 家美国公司、地方政府、医疗机构和学校成为勒索软件的受害者。英国国家网络安全中心称去年处理的勒索软件事故数量是之前任何一年的三倍以上。安全公司 Emsisoft 估计去年全球勒索软件造成的损失在 420 亿美元到 1700 亿美元之间。
安全
WinterIsComing(31822)
发表于2021年04月29日 22时31分 星期四
来自灵魂骑士
云服务商 DigitalOcean 向部分客户发去邮件通知,警告计费账户信息泄露。DigitalOcean 称黑客在 4 月 9 日到 4 月 22 日利用了一个已经修复的漏洞访问了部分客户的计费账号数据,黑客访问的数据包括了计费账号的名字和地址,付款卡的后四位数字、有效期和发卡银行名称。客户的 DigitalOcean 账号没有被访问,密码和账号令牌也没有泄露。DigitalOcean 表示它正在监视这些账号。DigitalOcean 客户在付费时可选择不直接使用自己的银行卡,而是通过第三方支付服务如 Paypal。
安全
WinterIsComing(31822)
发表于2021年04月29日 11时17分 星期四
来自苍穹微石
卡巴斯基相信它发现了 CIA 开发的新恶意程序。卡巴斯基是在一个恶意程序样本集中发现一个编程模式、风格和技术与 CIA 黑客工具 Lambert 相似的恶意程序,它将其命名为 Purple Lambert,编译时间是在 2014 年,部署时间可能是在 2014 年或 2015 年。Purple Lambert 的作用是充当后门去监听特定数据包的网络流量。上一次 CIA 黑客工具集大规模泄密是 2017 年的 Vault 7。
安全
1
WinterIsComing(31822)
发表于2021年04月27日 22时10分 星期二
来自猛兽的财富
美国哥伦比亚特区警察局的服务器感染了勒索软件 Babuk Locker,攻击者在其网站上公布了窃取到的警方文件截图,要求警方支付赎金否则将公开敏感文件。这些文件可能会曝光警方的调查和线民的身份。Babuk Locker 黑帮称它从警方服务器上下载了超过 250 GB 的文件,它给了警方三天时间回应其勒索要求,否则将会联络当地的黑帮曝光线民。特区警察局发言人证实了服务器被未经授权访问,表示正与 FBI 合作展开调查。
安全
WinterIsComing(31822)
发表于2021年04月27日 18时27分 星期二
来自无敌号
名为 FluBot 的 Android 恶意程序正在快速扩散。它能窃取密码、银行数据和其它敏感信息。FluBot 主要通过短信传播,短信声称是来自快递公司,要求用户点击链接跟踪正在快递的包裹。而这个钓鱼链接会要求用户安装一个应用。一旦安装恶意程序会访问通讯录,向所有联络人发送短信,进一步扩散恶意程序。英国国家网络安全中心已对此发出了安全警告
安全
WinterIsComing(31822)
发表于2021年04月26日 22时40分 星期一
来自金斯顿城·卷一:巫师之印
知名安全研究员 Dan Kaminsky 因糖尿病酮酸中毒去世,年仅 42 岁。他最为人知名的一件事是发现了 DNS 域名系统的一个严重漏洞,并在幕后与行业紧密合作去开发补丁修复漏洞。他是在 2008 年的 Black Hat 安全会议上正式披露了 DNS 缓存中毒漏洞。很多人发帖悼念他的去世。
安全
WinterIsComing(31822)
发表于2021年04月24日 13时36分 星期六
来自异形博恩
密码管理器 Passwordstate 的开发商 Click Studios 通知客户,恶意攻击者入侵了它的升级机制,在客户电脑上安装了一个恶意文件。名为 moserware.secretsplitter.dll 的恶意文件包含了 SecretSplitter 的一份拷贝和恶意代码 Loader。恶意代码会尝试将 Passwordstate 数据发送到攻击者控制的服务器上。入侵发生在 4 月 20 日 8:33 am UTC 到 4 月 22 日 12:30 am 之间,攻击者的服务器在 4 月 22 日 7:00 am UTC 关闭。这次入侵的严重性在于 Passwordstate 是主要出售给企业级客户,用于管理防火墙、VPN 和其它企业应用的密码,有多达 2.9 万客户受到影响。这是最新一起的供应链攻击案件。
安全
WinterIsComing(31822)
发表于2021年04月23日 23时17分 星期五
来自环游黑海历险记
上周末,一辆特斯拉汽车在德克萨斯州发生撞树起火事故,车上的两人死亡,警方称车上的两人没有一人坐在驾驶位上,其中一人在前排的乘客座位上,另一人在后排的乘客座位。特斯拉创始人兼 CEO 马斯克(Elon Musk)周一称迄今提取到的数据表明,该车发生车祸时没有使用自动驾驶辅助系统 Autopilot。特斯拉的辩护者坚称,无人坐在驾驶位上 Autopilot 是不可能激活的。但美国知名的评测杂志《消费者报告》证实无人坐在驾驶位上启用 Autopilot 是可能的,事实上并不难。方法是先坐在驾驶位上激活 Autopilot,然后将速度降至零但不关闭 Autopilot,接着在方向盘上系上配重链条模拟手的压力,跳到旁边的乘客位置,再次增加速度恢复 Autopilot。《消费者报告》的调查人员公布了整个过程的视频,显示特斯拉汽车系统无法识别司机是否在留意交通情况,也不知道座位上是否有司机。
安全
WinterIsComing(31822)
发表于2021年04月23日 14时59分 星期五
来自图书馆员与追寻鹅妈妈
HardenedLinux 写道 "近日一篇于2021年2月公开的论文"On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits"和相关针对Linux内核社区故意投递恶意UAF漏洞的试验被内核维护者Greg Kroah-Hartman攻击而进入公共的视野,迫于媒体的压力明尼苏达大学宣布进行调查,Greg和一些内核维护者的指控在一些方面有失偏颇,首先,这是一项非常有趣的研究,真实世界的攻击者不论是否有相关公开的研究都会进行此类攻击和尝试,从这个角度,我们应该感谢明尼苏达大学的研究者。Greg单方面的“决定”封杀明尼苏达大学邮箱的提交和撤回之前所有的代码贡献是过度反应,如果撤回之前代码贡献的原因仅仅是因为此次试验的内容,那内核社区是否应该考虑代码审核的过程过于脆弱。Greg如果有权封杀所有他个人不喜欢的安全研究者,是否意味着Linux内核社区默认赋予他这样的权利,幸运的是,并不是所有人都赞同Greg和媒体的说辞 ,或许此举让Linux内核社区的行为准则成为了笑话。另外,其他自由开源软件社区也同样面临恶意植入的问题,而这些实际的问题大量引入媒体而非专业人士的建议是不明智的,我们应该把攻击者放进威胁模型,而不是安全研究者和明尼苏达大学。"
金钱
WinterIsComing(31822)
发表于2021年04月23日 12时49分 星期五
来自飞向阿尔孔
勒索软件黑帮 Darkside 正尝试扩大他们的勒索策略:与腐败的交易员合作做空受害者的股票。这种做法是受到 SEC 明令禁止的,会面临 SEC 的调查和惩罚。Darkside 在其暗网网站上称,它愿意在公布受害者名字前通知有意做空的交易员。Darkside 认为公布受害者的名字将会对其股价产生负面影响,让做空的交易员受益。这一声明也可作为另一种迫使受害者支付赎金的手段。
安全
WinterIsComing(31822)
发表于2021年04月22日 22时51分 星期四
来自人猿泰山之米甸探险
有政府背景的黑客正在利用 Pulse Secure VPN 的高危漏洞绕过二步认证,悄悄入侵入侵美国国防行业和世界其它地方的组织机构。其中至少有一个漏洞是 0day。安全公司 Mandiant 发表报告称,过去半年黑客入侵的对象包括国防行业、政府和金融组织。美国网络安全和基础设施安全局称,目标还包括美国政府机构、关键基础设施实体和其它私营组织。Mandiant 称,有限的证据显示其中一个黑客组织叫 UNC2630。
安全
WinterIsComing(31822)
发表于2021年04月22日 14时00分 星期四
来自图书馆员与黄金锅
以色列公司 Cellebrite 的数字取证工具被专制政府广泛用于从 Android 和 iPhone 手机中提取数据,它最近加入了对 Signal 的支持。Cellebrite 的软件主要包含两部分:UFED 和Physical Analyzer,UFED 用于创建备份,而 Physical Analyzer 则从备份文件里解析文件以可读的格式展示文件,支持 Signal 意味着 Physical Analyzer 加入了对 Signal 所使用文件格式的支持。Signal 创始人 Moxie Marlinspike 获得了一个 Cellebrite 设备(据说是从卡车上掉下来恰好掉到他身前,这是不愿意透露设备来源使用的借口),对其进行分析后发现,Cellebrite 看起来一点也不在意自家软件的安全,软件存在大量可利用的漏洞,比如它捆绑的 FFmpeg DLL 是 2012 年构建的。他们找到了漏洞可以在 Cellebrite 设备上执行任意代码,Signal 将随机向应用数据内储存一些让 Cellebrite 失效的代码,该代码不仅会修改当前的 Cellebrite 报告,还会以随机方式破坏以前和未来产生的 Cellebrite 报告。Signal 还发现 Physical Analyzer 的安装程序捆绑了苹果签名的两个安装包。
安全
WinterIsComing(31822)
发表于2021年04月20日 21时16分 星期二
来自先知
OpenSSH 项目释出了 8.6。因 SHA-1 哈希算法的构造前缀碰撞攻击成本不到 5 万美元,OpenSSH 项目将默认禁用 ssh-rsa 公钥签名算法,但这并不意味着要停止使用 RSA 公钥,它仍然能配合不同算法用于签名,如 ssh-rsa 可以用 rsa-sha2-256(RSA/SHA256)、rsa-sha2-512(RSA/SHA512) 和 ssh-rsa(RSA/SHA1)签名,只有最后一个将被默认禁用。
安全
WinterIsComing(31822)
发表于2021年04月19日 10时35分 星期一
来自记忆
得州的一辆特斯拉汽车撞树起火,两名男子死亡,他们没有一个人在驾驶汽车。当局称,车内有两个人,一个人在前排的乘客座位,一个人在后排的乘客座位。这辆汽车当时应该是处于自动驾驶模式,但在转弯时汽车开出了路面,撞上了一棵树,立即起火燃烧,消防员花了几个小时才扑灭火,因为电池不断的重新燃烧,他们只能打电话给特斯拉公司求助,询问如何扑灭电池上的火。
安全
WinterIsComing(31822)
发表于2021年04月18日 23时10分 星期日
来自巨龙之日
Codecov (Codecov 代表 Code Coverage,代码覆盖率,软件测试中的一种度量)发布安全警告,称它的 bash uploader 被发现从 1 月 31 日到 4 月 1 日之间包含后门,后门会导致开发者的电脑向黑客控制的服务器发送秘密的认证令牌和其它敏感数据。Codecov bash uploader 被用于发送代码覆盖率报告,部分开发项目整合了 Codecov 或其它类似的第三方服务。Codecov 称它的调查发现黑客利用 Codecov Docker 镜像创建过程中的一个错误提取出修改 Bash Uploader 脚本所需的凭证,未经许可修改了脚本。植入的后门代码将 GitHub 库位置和整个过程环境发送到远程服务器,其中包括令牌、凭证等秘密的敏感数据。利用这些敏感信息,黑客能访问私有库访问非公开的源代码,甚至可以进一步发动供应链攻击——在这些源代码中再次植入后门。Codecov 督促在此期间使用它的 bash uploader 的开发者立即撤销所有凭证和令牌。
安全
WinterIsComing(31822)
发表于2021年04月15日 22时06分 星期四
来自达尔文电波
安全公司 Forescout 和 JSOF 的研究人员在四个广泛使用的 TCP/IP 堆栈中发现了一组新漏洞,漏洞被统称为 Name:Wreck,与 DNS 的实现相关,既存在于 FreeBSD 操作系统中,也存在于西门子的工控系统 Nucleus NET 中。攻击者可利用漏洞崩溃设备将其下线或者实现远程控制,受影响的物联网设备多达上亿。所有漏洞都已有补丁修复,但受影响的设备绝大部分未必会修正。Forescout 负责研究的副总裁 Elisa Costante 说,他们真正想要做的是提高人们的意识,与社区合作,寻找方法解决它。