内容转载

= ̄ω ̄= 内容转载

Adobe 发布安全更新 修复 Acrobat 和 Reader 中 39 个关键漏洞

在今天发布的安全更新中,Adobe 修复了存在于 Acrobat 和 Reader 软件产品中 39 个“关键”级别漏洞。潜在的黑客利用这些漏洞,可以在尚未修复的系统上执行任意代码。其中 36 个漏洞涵盖堆溢出、越界写入(out-of-bounds write)、UAF (Use After Free)漏洞、未信任的指针取消和缓存区错误等,可在受感染设备上执行任意代码;另外 3 个则是安全绕过漏洞,能在入侵后进行提权。 Adobe 的 APSB18-41 安全公告中披露的细节,目前受到这些安全漏洞影响的产品版本包括 Acrobat DC (Continuous, Classic 2015), Acrobat 2017, Acrobat Reader DC (Continuous, Classic 2015) 和 Acrobat Reader 2017。Adobe 在他们的支持网站上说,被评为“关键”的漏洞可能允许攻击者成功利用这些漏洞后执行恶意代码,而当前登录用户很可能不知道系统已被入侵。 Adobe 表示:“目前尚未有数据表明有黑客利用这些漏洞发起攻击。根据以往的经验,我们预计攻击不会即将到来。最佳做法就是 Adobe 建议管理员尽快安装更新(例如,在 30 天内)。”此外 Adobe 还修复了存在于 Acrobat 和 Reader 软件产品中 49 个“重要”级别漏洞,涵盖安全绕过、越界写入等等。       稿源:cnBeta,封面源自网络;

微软登录系统存在漏洞:用户 Office 帐号受影响

据美国科技媒体 TechCrunch 报道,当一系列漏洞串联在一起后可以构成完美的攻击以获得微软用户帐号的访问权限。简言之,就是欺骗用户点击某个链接。 印度“漏洞猎手” Sahad Nk 率先发现微软的子域名“ success.office.com ”未正确配置,给了他接管该子域名的可乘之机。 访问: 微软中国官方商城 – 首页 他利用 CNAME 记录——一个用于将一个域名链接到另一个域名的规范记录——来将未配置的子域名指向他自己的 Azure 实例。在 TechCrunch 于发布前获悉的一篇文章中,Nk 表示,通过这种方式,他可以接管该子域名,并劫持任何发送到该子域名的数据。 这本身不是什么大问题,但 Nk 还发现,当用户通过微软的 Live 登录系统登录他们的帐号后,微软的 Office、Store 和 Sway 等应用亦可以受骗将其身份验证登录指令发送他新近接管的域名。这是因为这些应用均使用一个通配符正则表达式,从而所有包含“office.com”字符的域名——包括他新接管的子域名——都能获得信任。 举例来说,一旦受害用户点击了电子邮件中发送的特殊链接,该用户将使用其用户名和密码通过微软的登录系统登录他们的帐号。获得帐号访问指令好比拥有某人的凭据——可以允许攻击者悄无声息地侵入该用户的帐号。 但是指示微软登录系统将帐号指令发送至 Nk 接管的子域名的恶意 URL ——若为恶意攻击者控制的话,恐会致使无数帐号暴露于风险之下。最糟糕的是,恶意 URL 看上去完全正常——因为用户仍然通过微软的系统进行登录,并且该 URL 中的 “wreply” 参数也没有疑点,因为它确实是 Office 的一个子域名。 换句话说,恶意攻击者可以轻而易举地访问任何人的 Office 帐号——甚至企业和集团帐号,包括他们的邮件、文档和其他文件等,而且合法用户几乎无法辨识。 Nk 在 Paulos Yibelo 的帮助下已向微软报告了该漏洞,后者已经将漏洞修复,并为 Nk 的工作支付了漏洞赏金。     稿源:新浪科技,封面源自网络;

科技巨头批澳政府反加密法律:对网络有重大负面影响

新浪科技讯 北京时间12月11日上午消息,据美国科技媒体TechCrunch报道,澳大利亚反加密网络法律上周获得通过,而包括苹果、谷歌及微软在内的科技巨头对此表示谴责。 “新出台的澳大利亚法律存在重大缺陷,范围过广并且对于新的权力缺乏独立监管。”改革政府监管联合会(Reform Government Surveillance)在一份声明中说道。科技公司补充表示这项法律将“破坏网络安全、人权以及我们用户的隐私权”。 联合会表示,将对澳大利亚继续施压,敦促立法人员在新的一年“迅速解决这些缺陷”。 联合会成员包括Dropbox、Facebook、谷歌、苹果,以及雅虎的母公司Oath。据称,这些公司在美国加密文件中均被列为国家安全机构项目PRISM中的成员,但所有公司均否认自己愿意参与其中。它们开始联合起来,游说澳政府改革其监管行动——部分行动都依赖于科技公司和电信公司被强制要求提供帮助。 Evernote、LinkedIn、Snap以及Twitter并未被列为PRISM的合作成员,但它们之后也加入了联合会并在信中署名。 思科、Mozilla等公司还对澳大利亚立法者提出投诉,认为这项法律“可能会对互联网造成重大负面影响”。 新法将让澳大利亚警方以及情报机构获得发布“技术通知”的权力——从本质上来说,这就是在迫使企业以及在澳大利亚运行的网站帮助政府破坏加密技术,或是在产品服务中安排后门。如企业拒绝配合技术通知内要求,将面临高额罚款。 批评人士认为,监管缺失可能会导致该系统的滥用。由于此类通知通常会伴随“禁言令”,任何技术通知都将不会公开。 此前,科技公司以及电信公司对反加密法规提出强烈反对,但这项提案还是在反对派——工党立法人员投票之后的不到一天时间里就获得了通过。 澳大利亚政府通过“恐吓战术”取得了胜利。澳大利亚国防部长克里斯托弗·派恩(Christopher Pyne)在推文中指控工党会选择“让恐怖分子以及恋童癖者继续做出恶劣行为,来保证自身利益”,但这则推文不久即被删除。工党承受不住压力,最终选择赞成这项法案的通过。但工党领袖比尔·肖滕(Bill Shorten)承诺,在法案通过的数月以内,该党将提供修正案,以确保澳大利亚在圣诞期间能变得更加安全。   稿源:新浪科技,封面源自网络;

信息泄露三年多:美人事管理局仍有1/3安全措施未能整改到位

根据美国政府问责办公室(GAO)向国会提交的最新报告,在 2015 年发生大规模的数据泄露事件后,美国人事管理局(OPM)仅落实了 80 项信息安全建议的 64% 。换言之,仍有 1/3 的信息安全措施缺位,导致 OPM 的网络仍易受到黑客攻击。GAO 表示:“总而言之,OPM 在实施改善其安全态势的建议方面取得了一定的进展,但仍需采取进一步的行动”。 在 2015 年 6 月份提交的报告中,OPM 透露有未经授权的第三方计算机访问了该机构的系统,导致约 420 万联邦雇员的个人信息泄露。 2015 年 7 月,OPM 又披露了第二波安全漏洞,其影响大约 2150 万人的背景调查相关文件和数据。 2015 年 2 月 ~ 8 月,在对 OPM 的部署的信息安全保护措施进行持续的审计之后,GAO 发布了四份不同的报告,其中详细列出了 80 项建议,以提升该机构的网络安全性。 遗憾的是,正如最新提交给国会的 2018 审计报告所述 —— 截止 2018 年 9 月 20 日,该机构已经执行了 80 项建议中的 51 项(约占 64%)。 尽管未能及时实施 GAO 给出的剩余 1/3 的安全改进,OPM 首席信息官办公室的官员还是表示:该机构已经制定了计划,以便在 2018 年底之前,完成剩余 29 项建议中的 25 项,并采取其它补救行动。 不过,尽管 OPM 在声明中表现出了良好的意愿,但 GAO 得出的结论是 —— 该机构未能提供任何充分的证据,以证明其余建议的实施情况。   稿源:cnBeta,封面源自网络;

5200 万用户数据泄露 谷歌将提前 4 个月关闭 Google+

新浪科技讯 北京时间12月11日早间消息,谷歌周一表示,将于明年4月关闭Google+社交媒体服务,比原计划提前4个月。此前,该公司今年第二次发现Google+的软件漏洞,新漏洞导致合作伙伴应用能访问用户的个人数据。 不过谷歌在博客中表示,没有发现任何证据表明,其他应用使用该漏洞访问了这些数据,包括用户的姓名、电子邮件地址、性别和年龄。谷歌表示,在上月引入的6天时间内,该漏洞影响了5250万个Google+帐号,其中包括一些企业客户的帐号。 本周,谷歌CEO桑达尔·皮猜(Sundar Pichai)将在美国国会众议院司法委员会就谷歌的数据收集行为作证。美国两党议员正呼吁制定新的隐私保护立法,以更好地控制谷歌、Facebook和其他大型科技公司。 今年10月,谷歌表示,将于2019年8月关闭Google+的消费级版本,因为维护该服务带来了太大的挑战。当时该公司表示,来自50万用户的个人信息数据可能被一个已经存在两年多的漏洞泄露给合作伙伴应用。 谷歌表示,在获得用户授权情况下从Google+获取数据,用于服务个性化的应用将会在90天内失去数据访问权限。与此同时,为企业客户开发Google+仍将是该公司的一大关注点。   稿源:新浪科技,封面源自网络;

美国国家科学院警告称政府需准备迎接量子攻击

新浪科技讯 北京时间12月11日消息,据国外媒体报道,美国国家科学院(NAS)的一份新报告称,尽管量子计算机的建造还面临许多挑战,但随着这些计算机逐渐成为可能,政府应该优先考虑潜在的后果,为网络安全面临的威胁做好准备。 物理学家理查德·费曼在1982年首先提出了利用量子体系实现通用计算的想法,而当计算机科学家彼得·秀尔开发出了在量子计算机上应用的“秀尔算法”,并以此证明了计算机能做出对数计算,并且速度远胜传统计算机之后,这一领域吸引了更多科学家的兴趣。今天,量子计算正在走出物理实验领域,逐渐进入商业世界,得到了来自私人和公共部门的投资。真正的、具有功能(但还不成熟)的量子计算机已经问世。美国国家科学院近日发布的这份报告,对量子计算领域的“进展和前景”做了总结。 报告中写道:“委员会发现,没有根本性的理由能说明在原理上无法构建一台大型的容错量子计算机。”该报告的作者由众多美国物理学家和计算机学家组成。 量子计算机是可将问题转化为量子比特(qubit),而非“古典”比特的计算机处理器。古典比特只能在两种状态——0和1——之间转换,即“非0即1”;而量子比特的0和1则是量子态,意味着在计算过程中,它们可以“又0又1”,直到被观察到。可以想象下薛定谔的猫,同时处于活着和死亡两种状态,直到盒子被打开。量子比特的威力来自于它们不仅增加了复杂性,而且具有通过量子力学的数学计算进行纠缠和干涉的能力。 这样一台机器可以推动人类对物理学的理解迈向新的边界。但是,量子计算机还有其他潜在的应用,比如用于研制更先进的人工智能,或者在药物开发中对新分子建模。量子比特不仅在处理器中作用巨大,它们还能成为强大的传感器。近年来,量子计算机已经成为一个国家安全问题;一台能够运行“秀尔算法”的量子计算机能够破解大量数据存储时需要用到的公钥加密技术。 这份由美国量子计算领域众多知名科学家写成的报告,重点关注量子计算机开发中面临的挑战和潜在的益处,并设定了对量子计算机的期望。毕竟,量子计算机本身就容易出错,即由于内在的“噪音”,你不一定能从算法中得到预期的最终答案。纠错算法能够解决这些问题,但会增加计算时间,并且应该不会在短期内实现。如果没有量子随机存取存储器(RAM),我们很难将大量的古典数据集转换为量子态。设计这方面的算法很难,调试一台你看不到中间状态的计算机同样很难。 报告中指出,破解秀尔算法的量子计算机提出“已经过了十多年”,也许是几十年了。报告作者并不是通过时间,而是根据量子比特的数量以及它们出错的可能性来估算量子计算机的能力。而且,他们并不认为量子计算机将完全取代传统计算机,相反地,它们将增强传统计算机的功能。 尽管量子计算领域刚刚起步,但该报告警告称,为现有的还未成熟的量子计算机找到实际应用非常重要,这可以更快地实现突破。与此同时,他们写道,鉴于代码破解机器的潜在威胁,应该立即开始准备量子安全加密方法的工作。 IBM研究院量子安全加密技术主管迈克尔·奥斯本(Michael Osborne)并未参与撰写这份报告,他指出:“从汽车到飞机,再到发电厂——如果(量子计算机)能在15到30年后投入运行,他们就需要开始规划向(量子安全)加密系统的转变了。” 这份报告还对量子研究领域的资助情况提出了警告,特别是美国。在包括中国在内的其他国家,大量的资金和人力已经投入到量子技术的开发中。而在美国,大部分量子研究都是私人资助的——可能无法提供直接的商业利益。“如果量子计算机不能在短期内取得商业上的成功,那么政府资助对于避免量子计算研究和开发显著下滑是必不可少的,”报告中写道。 相关人士指出,这份报告应该得到认真对待。“在目前受关注的科学和技术领域,美国国家科学院因其可信和客观的报告而受到高度评价,这一次也是这样,”报告评审者之一、英特尔实验室量子应用和架构主管Anne Matsuura说道。 目前看来,美国政府也的确在认真对待这份报告。有一项向量子计算产业注资的法案已经在众议院通过,目前正提交给参议院。很明显,量子计算不会消失,持续的投资和研究将使具有纠错能力的量子计算机在下一个十年成为现实,而现在正是为可能面临的量子攻击做好准备的时候。   稿源:新浪科技,封面源自网络;

卡巴斯基曝光 DarkVishnya 银行内网攻击案件细节

在影视作品中,经常能见到通过 USB 存储器发起的网路入侵攻击。剧情通常是从目标公司中挑选一位容易下手的雇员,让他在工作场所的某个地方插入。对于有经验的网络犯罪者来说,这显然是一件很容易暴露的事情。但没想到的是,同样的剧情,竟然在现实中上演了。2017~2018 年间,卡巴斯基实验室的专家们,受邀研究了一系列的网络盗窃事件。 它们之间有一个共同点 —— 有一个直连公司本地网络的未知设备。有时它出现在中央办公室、有时出现在位于另一个国家或地区的办事处。 据悉,东欧至少有 8 家银行成为了这种袭击的目标(统称 DarkVishnya),造成了数千万美元的损失。 每次攻击可分为相同的几个阶段:首先,网络犯罪分子以快递员、求职者等为幌子,潜入了组织的大楼、并将设备连接到本地网络(比如某个会议室中)。 在可能的情况下,该装置会被隐藏或混入周围环境,以免引起怀疑。如上图所示的带插座的多媒体桌子,就很适合植入隐蔽的设备。 根据网络犯罪分子的能力和个人喜好,DarkVishnya 攻击中使用的设备也会有所不同。在卡巴斯基实验室研究的案例中,通常有如下三种: ● 上网本或廉价笔记本电脑; ● 树莓派计算机; ● Bash Bunny — 一款用于执行 USB 攻击的特殊工具。 在本地网络内,该设备会显示为“未知计算机、外部闪存驱动器、甚至键盘”。然后再通过内置或 USB 连接的 GPRS / 3G / LTE 调制解调器,远程访问被植入的设备。 结合 Bash Bunny 在外形尺寸上与 USB 闪存盘差不多的事实,这使得安全人员在搜索时,难以决定从何处先下手。 攻击的第二阶段,攻击者远程连接到设备、并扫描本地网络,以访问共享文件夹、Web 服务器、和其它开放式资源。 此举旨在获取有关网络的信息,尤其是业务相关的服务器和工作站。与此同时,攻击者试图暴力破解或嗅探这些机器的登录凭证。 为克服防火墙的限制,它们使用本地 TCP 服务器来植入 shellcode 。 若防火墙阻止其从一个网段跳跃到另一个网段、但允许反向连接,则攻击者会借助其它可被利用的资源,来构建所需的通信隧道。 得逞后,网络犯罪分子会实施第三阶段: 登录目标系统,使用远程访问软件来保留访问权限,接着在受感染的计算机上启用 msfvenom 创建的恶意服务。 因为黑客利用了无文件攻击(Fileless Attacks)和 PowerShell,所以能够绕过白名单技术、或者域策略。 即便遇到了无法绕过的白名单,或者 PowerShell 被目标计算机阻止,网络犯罪分子亦可借助 impacket、winecesvc.exe 或 psexec.exe 等可执行文件,发动远程攻击。 最后,卡巴斯基实验室曝光了如下恶意软件: not-a-virus.RemoteAdmin.Win32.DameWare MEM:Trojan.Win32.Cometer MEM:Trojan.Win32.Metasploit Trojan.Multi.GenAutorunReg HEUR:Trojan.Multi.Powecod HEUR:Trojan.Win32.Betabanker.gen not-a-virus:RemoteAdmin.Win64.WinExe Trojan.Win32.Powershell PDM:Trojan.Win32.CmdServ Trojan.Win32.Agent.smbe HEUR:Trojan.Multi.Powesta.b HEUR:Trojan.Multi.Runner.j not-a-virus.RemoteAdmin.Win32.PsExec Shellcode 监听端口: tcp://0.0.0.0:5190 tcp://0.0.0.0:7900 Shellcode 连结点: tcp://10.**.*.***:4444 tcp://10.**.*.***:4445 tcp://10.**.*.***:31337 Shellcode 管道: \\.\xport \\.\s-pipe   稿源:cnBeta,封面源自网络;

研究发现全球有 41.5 万多台路由器受到秘密挖矿软件感染

据外媒报道,研究人员发现,全球超41.5万台路由器感染了旨在窃取路由器计算能力并偷偷挖掘加密货币的恶意软件。这些仍在继续的网络攻击尤其影响最严重的则是MikroTik路由器。有记录显示,针对该品牌的一系列加密攻击始于今年8月,当时安全专家发现有20多万台设备被感染。从那以后,这个数字又增加一倍多。 虽然大多数受影响的设备最初都集中在巴西,但数据显示,在全球范围内也有大量设备受到了影响。 值得指出的是,被入侵设备的数量可能略有下降,但遭到攻击的路由器总数仍相当高。 安全研究员VriesHD指出:“如果实际被感染的路由器总数在35万到40万台左右,对此我也不会感到惊讶。” 有趣的是,尽管攻击者过去倾向于使用CoinHive–一种用于面向隐私加密货币Monero (XMR)的挖掘软件–但研究人员注意到,攻击者已经开始转向了其他挖掘软件。“CoinHive、Omine和CoinImp是使用最多的服务,”VriesHD表示,“过去80%到90%用的都是CoinHive,但最近几个月已经转向了Omine。” 今年8月,研究人员报告称巴西有20多万台设备在遭到劫持后被用于秘密开采加密货币。等到9月,易受攻击设备的总数已经增加到了惊人的28万台。 好在一些受害者可以做一些事情来保护自己。来自Bad Packets Report的安全专家Troy Mursch建议受影响的MikroTik设备的用户立即下载他们设备可用的最新固件版本。VriesHD则表示ISP可以通过强制对路由器进行无线更新来帮助对抗这些恶意软件的传播。此外他还补充称:“针对这个特殊问题的补丁已经发布了好几个月了,我已经看到成千上万的ISP从名单上消失了。然而不幸的是,似乎仍有大量的ISP根本不打算采取行动来减轻攻击。”   稿源:cnBeta,封面源自网络;

为保 5G 订单华为接受英国要求:提升网络安全性

网易科技讯12月7日消息,据金融时报报道,英国安全官员曾要求华为解决在其设备和软件中发现的严重风险,为了避免被未来的英国5G电信网络拒之门外,华为宣称已经接受这些要求。 两名知情人士表示,在华为高管与英国政府通信总部(GCHQ)下属国家网络安全中心(NCSC)高级官员于本周举行的一次会议上,华为同意了英方提出的一系列技术要求,这些要求将改变华为在英国的操作业务。 华为还同意向NCSC发出正式信函,概述该公司同意紧急解决这些问题的协议。今年7月份,负责华为设备测试的一个监督委员会在批准该设备在英国网络中使用之前,提出了一份关键报告。 此前,出于对网络安全的担忧,美国政府加大压力,劝说西方盟友在升级至5G网络时避免使用华为的设备和服务。但英国高级安全官员一再强调,他们的担忧与华为的技术缺陷有关,而与该公司是否位于中国无关。 华为承诺安抚英国方面的担忧,这反映出在西方安全机构对其业务进行严密审查之际,华为有必要在力所能及的范围内解决人们的担忧。这对英国政府来说也是一场重大改变,因为这将要求华为大幅改变其商业行为。 最近几天,西方国家安全部门负责人直言不讳地强调对华为技术的担忧。英国情报机构军情六处(MI6)负责人亚历克斯·杨格(Alex Younger)表示,在是否允许华为为其5G网络提供技术方面,英国面临一个艰难的决定。 英国监督委员会在7月份的报告中称,华为对外界的担忧反应迟缓。报告强调,华为的工程流程存在“缺陷”,使英国电信网络面临风险。报告中还确定了减轻和管理这些风险方面的长期挑战。 报告中针对华为提出的问题包括,华为使用由第三方开发的过时开源软件,这些软件仍然保留着英国许多网络中使用的代码,非常容易受到网络攻击。 多名使用过华为工具包的人士表示,一个更大的问题与华为开发代码和设备的方式有关。华为将其设备开发分配给多个团队,以加快开发进程,并降低技术被盗的几率。 随着华为的发展,这一体系为其提供了良好的服务,但对于那些在审计设备时寻求更明确责任界限的政府来说,这已成为一个大问题。 市场研究机构IDC分析师约翰·德莱尼(John Delaney)表示,华为似乎已经对压力做出了回应。他表示:“华为现在已经成为英国的主导企业,它显然希望留在那里。对他们来说,至少口头上说些好话,或者采取切实的措施来缓解这些担忧,都是有意义的。他们不希望危机蔓延到其他国家。” 华为表示,英国监督委员会的报告“确定了我们工程流程中需要改进的某些领域。我们十分感谢这些反馈,并致力于解决这些问题。网络安全仍然是华为的首要任务,我们将继续积极改进我们的工程流程和风险管理系统。”NCSC拒绝置评。   稿源:网易科技,封面源自网络;

内部邮件披露:Facebook 开发者明知高风险仍收集用户隐私以吸纳新成员

今年3月,不少Android用户震惊地发现Facebook正在收集他们的电话、短信等历史记录;今天英国议会披露的Facebook内部邮件显示开发人员明知这些数据非常敏感,但他们仍倾向于将其收集起来以此帮助公司吸纳更多用户。 这些电子邮件显示,Facebook的增长团队希望调用这些日志数据来改善Facebook的算法,并通过“你可能知道的人”功能来吸纳更多用户。值得注意的是,项目经理认为“从公关角度来说,这是一个风险非常高的事情”,但这种高风险似乎已经被潜在的用户增长所忽视。 起初,通常以应用内弹出对话框的方式要求用户选择加入。不过在者尝试探索各种方式来让用户注册的过程中,很明显利用Android的数据权限来自动注册新用户。在另一个邮件链中,开发该功能的小组将Android权限屏幕的作为不必要的摩擦点,并尽可能的避免。当测试过程中发现调用日志可以在没有权限对话框的情况下进行,开发人员随后就大肆利用这种方式收集用户信息。 一位开发人员在邮件中写道:“基于我们的初步测试,在不会向用户发出Android权限对话框的情况下允许我们来升级用户。”在3月份爆发故事之后,Facebook坚称未经许可未收集任何通话记录,并且任何受影响的用户都选择加入该功能。这与许多Facebook用户的体验相矛盾,他们报告说,使用最少的权限安装Messenger,但仍然收集了日志。   稿源:cnBeta,封面源自网络;