adv

solidot新版网站常见问题,请点击这里查看。
安全
WinterIsComing(31822)
发表于2020年02月05日 17时34分 星期三
来自
UNIX 和 Linux 操作系统广泛使用的工具 Sudo 又发现了一个高危漏洞,这个漏洞在启用了 pwfeedback 的系统中很容易利用。漏洞编号 CVE-2019-18634,是一个堆栈缓冲溢出 bug,影响 v1.7.1 到 1.8.25p1,能通过管理员权限触发,而在启用了 pwfeedback 的操作系统中,该漏洞让非特权用户很容易通过缓冲溢出获得 root 权限,不需要攻击者有 Sudo 使用权限。在 Sudo 上游版本中,pwfeedback 没有默认启用,但在下游发行版如 Linux Mint 和 Elementary OS 中,pwfeedback 被默认启用了。Ubuntu 不受影响。该漏洞是在 2009 年被引入到 Sudo 中的,直到 2018 年释出的 1.8.26b1,受影响的系统应尽可能快的更新到 1.8.31。
Twitter
WinterIsComing(31822)
发表于2020年02月04日 21时47分 星期二
来自
去年 12 月,安全研究员 Ibrahim Balic 披露他利用一个 Twitter Android app 漏洞匹配了 1700 万用户的手机号码。Twitter 的联络人上传功能会在上传通讯录之后返回匹配到的用户数据,也就是你可以知道一个随机生成的手机号码是否属于一位真实用户。现在,Twitter 发出警告,有第三方攻击者使用其官方 API 匹配用户名和手机号码。Twitter 称,它在调查 Ibrahim Balic 披露的安全漏洞期间发现有证据显示另外第三方也在利用该 API 漏洞,攻击者使用的部分 IP 地址与国家支持的黑客有关联。Twitter 表示,这一攻击只影响在设置页启用了“Let people who have your phone number find you on Twitter”的用户,没有提供手机号码的用户也不受影响。
安全
WinterIsComing(31822)
发表于2020年02月01日 21时25分 星期六
来自
路由器发行版 OpenWrt 披露了一个远程代码执行漏洞,OpenWrt opkg 包中的一个 bug 会导致包管理器忽略库索引嵌入的 SHA-256 校验和,事实上绕过了下载 .ipk 文件的完整性检查。由于 opkg 包以 root 权限运行,对整个文件系统具有读访问权限,意味着 .ipk 包嵌入的恶意负荷能执行任意代码。开发者已经释出了新版本修复了漏洞。
安全
WinterIsComing(31822)
发表于2020年01月28日 17时41分 星期二
来自
去年 5 月,计算机科学家披露了起名为 ZombieLoad 的 CPU 漏洞,该漏洞影响 2011 年之后发布的几乎所有英特尔处理器。和 Meltdown、Spectre  等漏洞类似,ZombieLoad 利用预测执行,去实现跨线程、权限边界和超线程的数据泄露。芯片巨人先后在去年 5 月 和 11 月释出了两次补丁去修复 Zombieload 漏洞。本周一,英特尔在安全通知中承认之前的修复并不充分,攻击者仍然能利用 Zombieload 泄露数据,它第三次释出了补丁
安全
WinterIsComing(31822)
发表于2020年01月27日 16时40分 星期一
来自
ProtonMail 上周公开了旗下的 VPN 客户端 ProtonVPN 的源代码,包括了 WindowsmacOSAndroidiOS 版本。ProtonMail 称,VPN 服务缺乏透明度和问责,是否有安全认证,是否遵守了隐私保护法律如 GDPR,公开所有应用程序的源代码是理所当然的下一步。ProtonVPN 的程序已经进过了  SEC Consult 的安全审计,Windows 版本的审计报告发现了两个低风险的漏洞;Android 版本发现了 4 个低风险漏洞,其中之一是不安全的登出;iOS 版本发现了 2 个中等风险的漏洞和 2 个低风险漏洞,最严重的漏洞是硬编码凭证和内存中包含有敏感数据。
安全
WinterIsComing(31822)
发表于2020年01月26日 20时53分 星期日
来自
美国国土安全部对一个 IE 漏洞发出警告,建议 IE 用户切换到 Microsoft Edge 或其它替代浏览器。该漏洞影响运行在 Windows 7、8.1 和 Windows 10 上的 Internet Explorer 9、10 和 11。微软通常要等到下月例行更新时才会释出更新修复漏洞。根据软件巨人的安全警告,这是一个远程代码执行漏洞,与脚本引擎处理 IE 内存中的对象有关,攻击者可以利用该漏洞获得与当前用户相同的用户权限,也就是如果你是以管理员账号登陆,那么攻击者将能控制受影响的系统。微软警告用户不要点击陌生人发送的链接。
安全
WinterIsComing(31822)
发表于2020年01月22日 22时34分 星期三
来自
微软承,它的客户支持内部数据库因 Azure 云服务错误配置在 2019 年 12 月 5 日到 31 日之间暴露在网上。一共有五台 Elasticsearch 服务器暴露,这些服务器储存了相同的数据,彼此充当镜像。数据库含有大约 2.5 亿条记录,包含了电子邮件、IP 地址和支持案例细节。微软称,绝大部分记录不包含任何用户个人信息。微软表示它已经开始通知受影响的客户,表示没有发现数据被恶意使用。
安全
WinterIsComing(31822)
发表于2020年01月22日 18时04分 星期三
来自
卫报援引匿名消息来源报道,亚马逊 CEO 贝佐斯(Jeff Bezos)在 WhatsApp 上收到沙特王储的信息之后手机遭到入侵。这一事件发生在 2018 年。知情人士称,贝佐斯与沙特王储萨勒曼(Mohammed bin Salman)在 WhatsApp 上有过一段时间的“友好”交流,然后在当年的 5 月 1 日沙特王储的账号向世界首富发送了恶意文件。数字取证分析认为,对手机的入侵很可能是一则恶意视频文件触发的。知情人士称,在入侵的数小时内,有大量的信息被提取出去。贝佐斯旗下的《华盛顿邮报》报道称,视频文件嵌入了以色列 NSO 公司开发的间谍软件 Pegasus,目标点击收到的文件链接之后就会被悄悄监视。报道称,贝佐斯和萨勒曼是在洛杉矶的一次晚宴中交换了手机号码,贝佐斯据报道有意在沙特建数据中心。数字取证专家是在贝佐斯的外遇以及与情人之间的交流信息被 National Enquirer 披露之后对其手机展开调查。调查认为,在手机被入侵之后沙特访问到了贝佐斯的大量私人信息。沙特美国大使馆否认了这一报道。
安全
WinterIsComing(31822)
发表于2020年01月20日 15时00分 星期一
来自
日本国防承包商三菱电机表示,受大规模网络攻击影响,个人及客户等信息可能外泄。据分析,中国网络黑客组织可能参与了攻击。遭到非法访问的电脑和服务器中没有包含关于防卫及电力、铁路等基础设施运用之类机密性高的信息,这些信息没有泄露。三菱电机表示,“未确认到”网络攻击导致的“受害及影响”。去年 6 月三菱电机国内服务器等设备被发现可疑迹象。公司实施内部调查,在总部・事业总部的大部分和总公司管理部门发现非法访问现象。据称由于非法访问的手法巧妙,调查持续至近期。
安全
WinterIsComing(31822)
发表于2020年01月19日 21时29分 星期日
来自
一名黑客泄露了 51.5 万服务器、路由器和物联网设备的 Telnet 密码。黑客称这些数据是通过扫描设备暴露的 Telnet 端口编辑而成,黑客尝试了 1)出厂时默认的用户名和密码;2)简单的密码组合。这些密码列表是一名 DDoS booter 服务的维护者公布在网上的,这名泄露者称他升级了 DDoS 服务,从物联网僵尸网络转到租赁云服务商的高吞吐服务器。
安全
WinterIsComing(31822)
发表于2020年01月18日 19时20分 星期六
来自
在 NSA 警告和微软披露了 Windows CryptoAPI(Crypt32.dll) 中的一个高危漏洞之后,安全研究员 Saleem Rashid 演示了利用漏洞的概念验证攻击。被称为 CVE-2020-0601 的加密库漏洞影响 Windows 10,Windows Server 2016 和 Windows Server 2019,可被用于欺骗网站、软件更新和 VPN 等的证书验证,将假的网站或更新识别为合法的网站或更新。问题涉及到 Windows 验证使用椭圆曲线加密(ECC)证书的有效性方法,存在漏洞的 Windows CryptoAPI 只验证三个 ECC 参数,未能验证关键第四个参数。该问题是微软的 ECC 实现导致的,并非是 ECC 加密算法本身有弱点。除了 Rashid 外,Kudelski Security 的研究人员也公布了漏洞利用,你可以访问这个网站检查 Windows 系统是否仍然存在漏洞。
安全
WinterIsComing(31822)
发表于2020年01月14日 22时19分 星期二
来自
微软本周二将释出例行安全更新,而 KrebsOnSecurity 援引知情人士的消息报道,微软将释出补丁修复一个影响所有版本 Windows 的加密组件高危漏洞。而在例行更新释出前,微软就悄悄向美国军方机构和管理互联网基础设施的高价值客户释出了补丁,为防止漏洞信息泄露,微软还要求这些机构签署了保密协议。消息源称,漏洞存在于加密组件 crypt32.dll 中,该模块用于处理 CryptoAPI 中的证书和加密消息函数。它存在高危漏洞将会影响到许多 Windows 重要功能,包括Windows 桌面和服务器之间的验证,敏感数据保护,以及第三方应用和工具。
安全
WinterIsComing(31822)
发表于2020年01月10日 17时35分 星期五
来自
研究人员报告,美国政府补贴低收入用户的 Android 手机被发现预装了难以移除的恶意程序。Virgin Mobile Assurance Wireles 项目的 UMX U686CL 手机以 35 美元的价格提供给合格用户。Malwarebytes 的研究人员在手机上发现了无需用户同意就能安装广告和其它不想要应用的恶意程序 Android/Trojan.Dropper.Agent.UMX。恶意程序隐藏在系统设置应用中,普通用户事实上不太可能将其卸载。研究人员发现的另一个潜在恶意应用是用于升级的 Wireless Update,它提供了机制无需用户同意安装不想要的应用,它是 Adups 的变种。上海广升信息技术有限公司的 Adups 在 2016 年被发现悄悄收集了用户数据。
安全
WinterIsComing(31822)
发表于2020年01月09日 17时42分 星期四
来自
Mozilla 释出了 Firefox v72.0.1 和 ESR 68.4.1,紧急修复了一个正被利用的漏洞。该漏洞属于类型混淆,影响 IonMonkey,它是 Firefox JS 引擎 SpiderMonkey 的 JIT 编译器。该漏洞由中国安全公司奇虎 360 发现和报告,细节没有披露。该公司在一则已删除的推文中称,IE 也有一个 0day 漏洞也正被利用。这是 Mozilla 在过去一年修复的第三个 0day 漏洞。
安全
WinterIsComing(31822)
发表于2020年01月09日 15时38分 星期四
来自
外汇公司通济隆集团(Travelex)因未打补丁的 VPN 软件而遭到勒索软件的攻击,攻击者索要 600 万美元的赎金。2019 年 4 月,企业级 VPN 服务商 Pulse Secure 发布紧急补丁修复一个软件漏洞,该漏洞允许远程攻击者无需用户名或密码访问 VPN 服务器,关闭多步认证,查看服务器上缓存的日志、用户名和密码。新年前夕,Travelex 的网络遭到了勒索软件 Sodinokibi aka REvil 的攻击。攻击者联络媒体称他们在六个月前就渗透进入了该公司的计算机网络,下载了 5GB 的敏感客户数据。包括了客户的出生日期、信用卡信息和国家社会保险号。如果 Travelex 支付赎金,攻击者表示将会删除其持有的数据集,恢复其网络。如果拒绝支付的话会出售其持有的数据库。Travelex 称它正与警方合作,同时派遣了 IT 团队和外部专家共同解决问题。
安全
WinterIsComing(31822)
发表于2020年01月09日 14时13分 星期四
来自
以色列网络安全公司Check Point 发布研究报告,称在 TikTok 平台发现严重的安全漏洞。在报告给其运营商北京字节跳动之后,这些漏洞已经修复。这些漏洞可以让攻击者向 TikTok 用户发送带有恶意链接的消息。用户点击链接后,攻击者就能控制他们的帐户,包括上传视频或访问私密视频。通过另一个漏洞,Check Point 研究人员可以从该公司网站上获取 TikTok 用户账户的个人信息。TikTok 于 11 月 20 日了解到 Check Point 的研究结论,表示已在 12 月 15 日之前修复了所有漏洞。
安全
WinterIsComing(31822)
发表于2020年01月08日 17时00分 星期三
来自
Google Project Zero 公布了最新的漏洞披露政策:不管有没有修复,它都会在默认 90 天后披露漏洞细节,除非已有协议存在。在这之前,Google Project Zero 的漏洞披露是在 90 天或漏洞修复之后,选择最早的哪个。从 2020 年 1 月 1 日起,新的政策是不管有没有提前修复,漏洞都会在 90 天后披露。Google 安全团队表示,它的目的是补丁的开发能更快更彻底,并能及时推送给用户。改进安全不是发现 bug 或修复 bug,而是让用户知道 bug 和补丁。
安全
WinterIsComing(31822)
发表于2020年01月03日 20时22分 星期五
来自
美国国家公路交通安全管理局着手调查与一辆特斯拉 Model S 汽车相关的致命车祸,这辆汽车据报道闯红灯,撞上了一辆本田思域,杀死了两名乘客,特斯拉汽车里的两个人也被送往医院,但没有生命危险。车祸发生在 12 月 29 日,可能与特斯拉的自动驾驶功能有关联。特斯拉和美国国家公路交通安全管理局都建议司机在启用自动驾驶时双手握住方向盘,集中注意力,特斯拉称自动驾驶功能只是辅助驾驶,能在车道上导向、加速和刹车,但并不具有真正的自主驾驶功能。
安全
WinterIsComing(31822)
发表于2020年01月02日 11时43分 星期四
来自
美国海岸警卫队在一则安全通知中称,它的一处海事设施感染了勒索软件 Ryuk,致使其停止运作 30 多个小时。海岸警卫队没有透露海事设施的位置,表示它相信勒索软件渗透到其网络是通过发送给一名雇员的钓鱼邮件。一旦雇员点击了嵌入在恶意邮件长的链接,勒索软件随后访问了企业信息网络文件,加密,阻止访问关键文件。海岸警卫队称,病毒在 IT 网络中扩散,甚至影响到了监视和控制货物驳运的工控系统,加密了对操作流程至关重要的文件。
安全
WinterIsComing(31822)
发表于2020年01月01日 17时53分 星期三
来自
WSJ 报道,被称为 Cloud Hopper 的网络间谍行动是至今最大规模企业间谍活动之一。中国黑客窃取了大量的知识产权、安全调查细节等情报。Cloud Hopper 采用的策略是所谓的供应链攻击,针对的是云服务供应商,将云服务商作为跳板入侵其客户的计算机网络窃取各种机密。遭到入侵的企业包括了矿业巨头力拓、电子和医疗保健设备制造商飞利浦公司等。被入侵作为跳板的云服务商包括了加拿大的 CGI Group、芬兰的 Tieto Oyj,以及 IBM 和 HPE 等十多家公司。