内容转载

= ̄ω ̄= 内容转载

Adobe Flash 爆出严重漏洞:可导致代码任意执行 获取个人隐私

众所周知,Flash是网络攻击的首选目标。值得注意的是,Adobe在2017年7月宣布计划将Flash推入使用寿命终止状态,这意味着它将在今年年底不再更新或分发Flash Player。不过仍然在使用Adobe的用户需要警惕,因为Adobe 在今年5月被爆出了多个严重漏洞,好在Adobe于6月9日发布了安全更新,修复了漏洞。 Adobe 被爆出的漏洞: 两个严重的越界写入漏洞(代号分别为:CVE-2020-9634,CVE-2020-9635),一个内存损坏而导致的严重漏洞(代号:CVE-2020-9636)。 对于CVE-2020-9634,特定的漏洞存在于GIF文件的解析中,该问题是由于缺乏对用户提供的数据的正确验证而导致的,这可能导致写操作超出了分配对象的末尾。 对于CVE-2020-9635,PDF文件的解析中存在特定漏洞。问题是由于缺乏对用户提供的数据的正确验证而导致的,这可能导致在分配的对象开始之前进行写操作。 攻击者可以利用CVE-2020-9634,CVE-2020-9635两个漏洞在当前进程的上下文中执行代码,诱使用户打开特定文件或访问恶意页面。 对于CVE-2020-9636,该漏洞是在释放内存后尝试访问的。这可能导致一系列恶意影响,从导致程序崩溃到潜在地导致执行任意代码-甚至启用完整的远程代码执行功能。 受影响的产品版本 1.包括Adobe Flash Player桌面运行时(Windows,macOS和Linux),适用于Google Chrome的Adobe Flash Player(适用于Windows,macOS,Linux和Chrome OS)以及适用于Microsoft Edge / Internet Explorer 11(适用于Windows 10和8.1)的Adobe Flash Player,均适用于32.0版.0.330及更早版本。 2.适用于Windows的Adobe Framemaker版本2019.0.5及更低版本。 升级修复版本 Adobe Flash Player更新到32.0.0.387版本,加强安全性。该版本除了修复最近爆出的漏洞,还可以解决历史上风险较高的产品中的漏洞。 Adobe Framemaker版本升级到2019.0.6版本或最新版本。 其他漏洞 Adobe还修补了与Experience Manager(其用于构建网站,移动应用程序和表格的内容管理平台)中的六个重要级别的漏洞。这些包括可能允许敏感信息泄露的服务器端请求伪造故障(CVE-2020-9643和CVE-2020-9645)和跨站点脚本漏洞(CVE-2020-9647,CVE-2020-9648,CVE-2020 -9651和CVE-2020-9644),可以在浏览器中启用任意JavaScript执行。 受影响的产品版本 Adobe Experience Manager (AEM)所有平台6.5版本 升级修复版本 建议所有用户迅速更新到AEM 最新版本(目前最新版本为:6.5.5.0),加强安全性。     (稿源:TechWeb,封面源自网络。)

遭遇勒索软件攻击 本田暂停工厂生产并关闭办公室

据外媒报道,本田的全球业务受到了勒索软件攻击,这家日本汽车制造商仍在努力让一切恢复正常。该家公司于当地时间周二表示,它将不得不暂时关闭部分生产设施,另外客户和金融服务业务也已经被关闭。本田在向The Verge发表的一份声明中说道:“目前没有证据表明个人身份信息丢失。我们大多数工厂都已恢复生产,目前正在努力恢复我们在俄亥俄州的汽车和发动机工厂的生产工作。” 据了解,本田遭到的网络攻击所使用的是被认为是被叫做Snake的勒索软件。通过它,黑客可以对遭到攻击的公司的文件进行加密将其作为勒索筹码。根据The Verge网站看到的一条信息显示,本田在其内部警报系统中将其称为“重大电脑勒索软件病毒攻击”。“来自全球和跨NA地区的IT团队正在持续工作以遏制这次攻击(带来的影响),另外还在尽快恢复正常的业务操作,但许多依赖于信息系统的业务流程仍受到了影响。” 据Twitter上的投诉显示,虽然本田表示一些工厂正在重新开工,但业主无法进行在线支付或进入公司的客户服务网站。该公司北美最大的客户和金融服务办公室的一名员工告诉The Verge,临时员工在办公室关闭时是没有工资的。 即使系统已经备份,本田美国客户和金融服务办公室的许多员工也无法远程工作。正如The Verge在5月份报道的那样,这意味着在大流行期间,许多员工不得不去办公室,对此一些员工担心公司在阻止新冠病毒传播方面做得不够。不过在过去几周,这些办公室的员工告诉The Verge,本田终于开始实行体温检测、加强社交距离,并且在某些地区地方允许更多的人远程工作。     (稿源:cnBeta,封面源自网络。)

任天堂就账号被黑事件发布最新声明:共有 30 万账号被入侵

在过去几个月时间里,任天堂被黑客入侵的用户账号数量几乎翻了一番。这家日本游戏巨头最初披露信息称,共有16万个任天堂账号遭到入侵,泄露的个人信息包括账号所有者的姓名、电子邮件地址、出生日期和居住国等。但据任天堂公布的更新声明显示,另有14万个账号被泄露。声明称,继续调查的结果使得这一数字上升。任天堂表示,该公司重新设置了这些账号的密码,并与受影响用户取得了联系。声明重申,任天堂的所有账号中仅有不到1%受到了此次黑客入侵事件的影响。 账号信息泄露的消息最早是在3月传出的,当时任天堂用户抱怨称其账号在未经许可的情况下被收取了数字物品费用。 任天堂4月发布Twitter消息称,用户应为自己的账号启用双因素身份验证功能,但并未说明原因。两周之后,任天堂才承认大量账号被不当访问,但仍未透露这些账户是如何被访问的,只是声称黑客通过“我们服务以外的某种方式”获得了密码,从而获得了账号的访问权限。这意味着用户可能使用了保密性较弱的密码,或者重复使用了在其他服务中已被破解的密码,并被黑客用来入侵其任天堂账号。     (稿源:新浪科技,封面源自网络。)

Phorpiex 僵尸网络病毒新增感染可执行文件

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/sRE5CyyEutzs_Z9BDdyGnA 一、概述 腾讯安全团队检测到Phorpiex僵尸网络病毒在国内近期较为活跃,该病毒的新版本增加了对感染32位PE文件(一种可执行文件)的能力,被感染的可执行文件被添加.zero恶意后门节代码,同时该病毒移除了检测虚拟机环境的相关代码。当已被感染的32位PE文件(通常是EXE可执行程序文件)在正常无毒的电脑中运行时,将会下载执行Phorpiex病毒主模块,实现病毒在不同电脑之间的感染传播。腾讯安全还检测到Avaddon勒索病毒使用Phorpiex僵尸网络的基础设施分发投递。 PE感染特性将导致Phorpiex僵尸网络病毒增加更多传播途径,如:已被感染的PE可执行文件可能通过移动设备的交换传播;带毒程序如果感染网站服务器,访客电脑可能通过网站下载被感染。 我们知道,感染型病毒曾经在WinXp之前的时代比较多见,现在已很少见,网民对这类病毒变得比较陌生,会有利于Phorpiex僵尸网络病毒通过网络或移动存储介质交换感染扩散。 Phorpiex僵尸网络传播途径较多,总结一下,主要有以下几种: 通过被感染的U盘、移动硬盘传播; 通过网站Web服务目录下被替换的文件下载传播; 通过被感染的压缩包文件传播; 通过VNC爆破传播; 通过感染32位PE可执行程序文件传播(新增) Phorpiex僵尸网络病毒主要通过投递、分发其它恶意病毒木马来获利。包括:挖矿木马、盗窃虚拟币的木马、群发诈骗邮件敲诈虚拟币、为其他勒索病毒提供分发渠道等等。腾讯T-Sec终端管理系统(御点)及腾讯电脑管家均可查杀Phorpiex僵尸网络病毒。 二、样本分析 被感染文件: 观察被感染后的文件可知新增了.zero节数据,运行被感染的可执行文件将会首先执行新增的恶意代码部分,再跳转到OEP处执行程序的原始功能,从而实现新的感染。 新增节内感染代码首先判断%appdata%\winsvcs.txt文件是否存在,文件属性是否隐藏。winsvcs.txt名的隐藏文件为Phorpiex病毒攻击成功后的标记文件,病毒通过检测该文件的属性来避免对已中毒主机的反复感染。 当感染代码判断该主机未被感染过,则从C2地址:88.218.16.27处拉取pe.exe模块到tmp目录执行,该文件后分析为Phorpiex病毒主文件。 拉取执行PE.exe病毒主文件完毕后,感染代码最终通过 PEB->ldr->InLoadOrderModuleList获取到当前模块基址后计算出原始未感染前入口代码地址跳转执行,以确保感染病毒后的可执行程序能正常运行。 Phorpiex僵尸网络主病毒文件: 88.218.16.27处拉取的pe.exe模块同样为加壳程序文件,内存Dump后可知,该模块为Phorpiex僵尸网络主传播模块。 该版本的Phorpiex主模块相比较老版本,在入口处的环境检测中相关代码中,将反虚拟机功能取消,只保留了反调试功能,这也意味着虚拟机环境下Phorpiex病毒也会从C2服务器下载恶意代码运行。 该版本的Phorpiex除作为downloader推广其它恶意程序外,自身主要创建4个功能线程: 线程1(老功能) 线程2(老功能) 线程3:(老功能) 线程4(新增) 感染文件过程过程是在%systemdrive%系统盘内展开的 感染目标为后缀.exe的PE类型文件,同时如果系统目录内文件绝对路径包含以下关键字符,不对其进行感染。以免感染到系统文件导致程序运行出错,从而避免被用户过早发现。 病毒感染时会排除含以下关键词的目录:windows,sys,$recycle.,service,intel,micro,boot,driver,recovery,update,drv。 文件名感染排除关键词:.exe.,win,sys,drv,driver,$,drivemgr.exe等。 感染过程采取文件映射方式,根据其感染代码可知,病毒对PE-64进行了排除,只感染32位文件。虽然如此,但由于当前Windows平台下多数软件为了兼容性未提供x64版本,故病毒依旧能够感染到大量的文件。病毒感染完成后会将内置的zero_code代码作为附加节数据添加到被感染文件中,zero_code中硬编码了一个0xCCCCCCCC常量,该常量在zero_code节代码拷贝完成后进行动态查找然后修改为原始程序OEP。 Avaddon勒索病毒与Phorpiex僵尸网络的关联 腾讯安全还捕获到通过邮件附件传播的伪装成图片的恶意样本。 附件包内图片扩展名的隐藏文件,实际为js脚本文件,只需要在文件夹选项中打开查看已知文件的扩展名。 脚本文件将会使用Poweshell或者Bitadmin尝试从217.8.117.63地址下载名为jpr.exe的文件执行,该投递方式疑为Phorpiex僵尸网络的手法。 通过腾讯安图大数据威胁情报管理可知,IP:217.8.117.63,确实为Phorpiex僵尸网络基础设施。 下载的jpr.exe经鉴定为新型Avaddon勒索病毒。 IOCs MD5: e28c6a5e9f89694a0237fe4966a6c32c 04deb3031bd87b24d32584f73775a0a8 4c7b7ce130e2daee190fc88de954292d c9ec0d9ff44f445ce5614cc87398b38d IP: 88.218.16.27 217.8.117.63 Domain: tldrbox.top tldrbox.ws URL: hxxp://88.218.16.27/1 hxxp://88.218.16.27/2 hxxp://88.218.16.27/3 hxxp://88.218.16.27/4 hxxp://88.218.16.27/5 hxxp://88.218.16.27/v hxxp://tldrbox.top/1 hxxp://tldrbox.top/2 hxxp://tldrbox.top/3 hxxp://tldrbox.top/4 hxxp://tldrbox.top/5 hxxp://tldrbox.top/v hxxp://tldrbox.ws/1 hxxp://tldrbox.ws/2 hxxp://tldrbox.ws/3 hxxp://tldrbox.ws/4 hxxp://tldrbox.ws/5 hxxp://tldrbox.ws/v hxxp://217.8.117.63/jpr.exe 参考链接 https://mp.weixin.qq.com/s/zbqLmCBblvbZQwsM2XJd2Q https://mp.weixin.qq.com/s/3kyLkoBd9K-5_VSk5Nnb6A            

印度 IT 公司 7 年入侵 1 万多电邮账户 多国政要被殃及

北京时间6月10日早间消息,据路透社报道,一家鲜为人知的印度IT公司为客户提供黑客服务,在7年时间里对全球超过1万个电子邮件账户进行入侵。根据该公司的三名前员工披露的信息以及外部研究人员的报告和网上的种种证据,总部位于新德里的BellTroX信息技术服务公司专门瞄准欧洲的政府官员、巴哈马的博彩大亨和以及包括美国私募股权巨头KKR和做空机构浑水在内的著名投资机构。 5名知情人士表示,BellTroX针对美国目标发动的黑客行动正在面临美国执法部门的调查。但美国司法部拒绝置评。 目前还不清楚BellTroX客户的身份。但该公司的所有者苏米特·古普塔(Sumit Gupta)拒绝在电话采访中透露客户身份,并否认存在任何不当行为。  浑水创始人卡尔森·布洛克(Carson Block)说,“得知我们可能成为BellTroX客户的入侵目标时,我感到失望,但并不惊讶。”KKR拒绝置评。 互联网监督组织Citizen Lab的研究人员花费了两年多时间摸清了黑客使用的基础设施。这些研究人员周二发布报告称,他们“充分相信”BellTroX的员工充当了间谍活动的幕后黑手。 “这是有史以来受雇开展的规模最大的间谍活动之一。”Citizen Lab研究员约翰·斯科特-莱尔顿(John Scott-Railton)说。 他表示,尽管与获得国家支持的间谍组织或者引人关注的网络盗窃案相比,“网络雇佣军”并未得到太大关注,但这些服务却得以广泛使用。“我们的调查发现,没有任何领域可以幸免。” 路透社通过查看数据缓存深入研究了这项活动,结果显示,BellTroX在2013至2020年间发送了成千上万条旨在诱骗受害者透露密码的消息。该数据是由黑客使用的网络服务提供商匿名提供给路透社的,在此之前,路透社曾经警告这些公司,他们平台上的活动存在异常。 该数据相当于一份“黑名单”,列出了攻击目标和攻击时间。路透社通过与受攻击的目标收取的电子邮件进行对比,验证了这些数据的真实性。 名单包含南非的法官、墨西哥的政治人物、法国的律师和美国的环保组织。这几十个人只是BellTroX数以千计攻击目标中的一小部分,他们均未作出回应或拒绝发表评论。 目前还无法确定究竟有多少次黑客入侵活动取得成功。 BellTroX的古普塔在2015年的一次黑客案中遭到起诉,该案中有两名美国私家侦探承认向他支付费用,以入侵营销高管的帐号。古普塔在2017年被宣布为逃犯,但美国司法部拒绝评论此案当前的状况,也拒绝透露是否已提出引渡请求。 古普塔在他位于新德里的家中通过电话否认了黑客入侵行为,他还表示执法部门从未与他联系。他说,他在私家侦探向其提供登录详细信息后,才帮助他们从电子邮件收件箱中下载了消息。 “我没有帮助他们获取任何东西,我只是帮助他们下载邮件,他们向我提供了所有详细信息。”他说,“我不知道他们如何获得这些详细信息,我只是为他们提供了技术支持。” 路透社无法确定私家侦探为什么会要求古普塔帮助他们下载电子邮件。古普塔没有回复后续消息,而当路透社记者周一前往他的办公室拜访时,也一再遭到拒绝。德里警方和印度外交部发言人没有发表评论。 伪装邮件 根据路透社查看的数据,BellTroX在德里西部某零售综合体的一家已经关闭的茶摊上方的小房间内开展活动,他们用数以万计的恶意电子邮件对目标展开“轰炸”。有些信息会伪装成攻击目标的同事或亲人,还有的邮件则伪装成Facebook登录请求或色情网站退订邮件。 法哈米·奎德(Fahmi Quadir)在纽约的做空机构Safkhet Capital是BellTroX于2017年至2019年间瞄准的17家投资机构中的一家。她说,在她发起基金后不久,就注意到2018年初的电子邮件数量激增。 最初“似乎不是恶意邮件,”奎德说,“只是占星术之类的内容。然后变成色情内容。” 最终,黑客们又加大了攻击力度,向她发送了看似可信的信息,伪装成她的同事、家人或其他做空机构。奎德说:“他们甚至想假冒我的姐妹。”但她认为攻击并没有成功。 美国游说组织也屡次成为目标。其中包括数字版权组织Free Press和Fight for the Future,这两个组织都为网络中立原则展开游说。这些组织表示,少数员工帐户遭到入侵,但更广泛的网络并未受到影响。电子前沿基金会曾在2017年的报告中详细阐述了这些组织遭到的攻击,但并没有公开将此与BellTroX联系起来。 Free Press主任蒂莫西·卡尔(Timothy Karr)说,“每当我们参与激烈且备受瞩目的公共政策辩论时,攻击行为就会增加。”Fight for the Future副主任埃文·格里尔(Evan Greer)说:“如果企业和政客可以雇用数字雇佣兵来瞄准公民社会组织,就会破坏我们的民主进程。” 尽管路透社无法确定是谁雇用了BellTroX来进行黑客攻击,但该公司的两名前雇员表示,他们及其他类似公司通常会与私家侦探签约,而这些私家侦探的幕后老板其实是受攻击者的商业或政治竞争对手。 圣迭戈私家侦探公司Bulldog Investigation的巴特·桑托斯(Bart Santos)表示,他们就曾经收到了来自印度的黑客服务广告,其中有一个人自称是BellTroX的前雇员。这些广告号称可以提供“数据渗透”和“电子邮件渗透”服务。事实上,有十余家欧美私家侦探都表示曾经收到过类似的广告。 桑托斯说,他并没有理睬这些广告,但他可以理解为什么有些人会花钱雇佣这些公司。“印度人在客户服务方面声誉很好。”他说。     (稿源:新浪科技,封面源自网络。)

骗子利用 COVID-19 危机通过电子邮件发送恶意软件

骗子看上去无所不能,甚至可以利用COVID-19大流行病。根据最近的一份报告,网络犯罪分子正在使用假简历和医疗休假表格来传播银行木马和窃取信息的恶意软件。自3月以来,已有超过4000万美国人首次申请失业救济,虽然目前失业率从高峰期开始下降,但仍维持在13.3%的水平。 Check Point的研究人员发现,不良分子正在趁虚而入。该公司写道,在过去两个月里,以简历为主题的电子邮件恶意活动增加了一倍,每450个恶意文件中就有1个是简历骗局。其中一个活动使用Zloader恶意软件来窃取受害者的证书和其他细节。它隐藏在电子邮件附件的恶意.xls文件中,主题词为 “申请工作 “和 “关于工作”。如果有人打开了其中一个文件,他们会被要求 “启用内容”,这时一个恶意的宏就会开始运行并下载最终的有效载荷。 另一个电子邮件活动利用了COVID-19相关病假。这些邮件的主题语为 “以下是一份员工申请表格,要求在家庭和医疗假期法案(FMLA)范围内休假”,通常包含medical-center.space 的发件人域名,它们包含Icedid恶意软件,这是另一种银行木马。 由于很多企业在封锁期间关闭,5月份与冠状病毒相关的网络攻击比4月份下降了7%,但在6月份企业重新开业后,整体网络攻击猛增16%。在过去的四周里,也有2000个恶意或可疑的冠状病毒相关域名注册。对此,安全人员要求用户永远不要打开可疑的电子邮件附件。     (稿源:cnBeta,封面源自网络。)

Linux 再次严辞拒绝 Intel CPU 漏洞补丁

近日,Linux 内核项目负责人 Linus Torvalds 拒绝了 AWS 工程师提交的一个补丁,该补丁的目的是减轻 Intel CPU 遭遇一种新型窥探攻击而导致数据泄露的风险。 这种新型攻击名为“探听辅助 L1 数据采样攻击”,简称 Snoop (CVE-2020-0550)。今年 3 月,来自 AWS 的软件工程师 Pawel Wieczorkiewicz 率先发现了 Intel 处理器的这一漏洞,它可能会泄露 CPU 内部存储器或缓存中的数据,涉及 CPU 包括 Intel 旗下流行的 Xeon 和 Core 系列处理器。Pawel 迅速向 Intel 报告了此问题,随后该漏洞被 Intel 定位为中等严重性漏洞。 新的 Snoop 攻击利用了 Intel CPU 多级缓存、缓存一致性和总线监听等特性,通过位于 CPU 内核中的一级数据缓存(L1D),通过“总线监听”(bus snooping)功能 —— 在 L1D 中修改数据时发生的缓存更新操作,将数据从 CPU 中泄漏出来。 以近代 CPU 的视角来说,计算机通常会采用三级缓存的设计来提高 CPU 的运行效率。三级缓存包括 L1 一级缓存、L2 二级缓存、L3 三级缓存,这些缓存都集成在 CPU 内,它们的作用是作为 CPU 与主内存之间的高速数据缓冲区。其中 L1 最靠近 CPU 核心;L2其次;L3再次。运行速度方面:L1最快、L2次快、L3最慢;容量大小方面:L1最小、L2较大、L3最大。在执行一项任务时,CPU 会先在最快的 L1 中寻找需要的数据,找不到再去找次快的 L2,还找不到再去找 L3,L3 都没有才去内存找。 而一级缓存其实还分为一级数据缓存(Data Cache,D-Cache,L1D)和一级指令缓存(Instruction Cache,I-Cache,L1I),分别用于存放数据及执行数据的指令解码,两者可同时被CPU 访问,减少了 CPU 多核心、多线程争用缓存造成的冲突,提高了处理器的性能。一般CPU 的 L1I 和 L1D 具备相同的容量,例如 I7-8700K 的 L1 即为 32KB+32KB。Snoop 攻击就是一种窃取 L1D 缓存中数据的攻击手段。 不过 Intel 的用户也不用惊慌,据 Intel 官方解释说,这种新攻击「很难实施」,并且不会泄露大量数据,毕竟 L1D 缓存中的数据非常有限,并且只有在任务运行时调用数据的短暂时间内才会存在。“我们不认为 Snoop 攻击在可信赖的操作系统环境下是一种实用的攻击方法,因为要利用这一漏洞需要同时满足很多苛刻的条件,比如攻击的时间要正好与用户打开程序的时间吻合,且程序调用的数据正好是攻击者想要窃取的数据。” 该漏洞披露之后,另一位来自 AWS 的软件工程师 Balbir Singh 为 Linux 内核提交了一个补丁,该补丁使 Linux 的应用程序能够选择在任务切换时自动刷新 L1D 的缓存,以降低 Linux 系统遭遇 Snoop 攻击的风险。 Singh 在 4 月份曾解释说:“这个补丁可以防止他们的数据在任务结束后被监听或通过旁道泄露。”他原本打算该补丁可以随 Linux 内核的 5.8 版一起发布。“如果硬件支持,该特性将允许基于可选加入的应用程序调用 prctl() 功能来刷新任务关闭后残留在 CPU 中的 L1D 缓存。” 但是,知名技术测试网站 Phoronix 指出,在任务结束后刷新 L1D 缓存会导致 CPU 的性能降低。Linux 内核项目负责人 Linus Torvalds 认为,这将导致使用该补丁的所有 Linux 用户(无论是否采用 Intel CPU)的 CPU 性能降低,严正拒绝了该补丁,同时还一如既往地说起了骚话。 Torvalds 在回复该提交的邮件列表中写道:“因为在我看来,这基本上是将缓存刷新指令导出到用户空间,并为进程提供了一种方式,可以说让与这事情无关的其他人也慢了下来。” “换言之,据我所知,这就是疯狂的 Intel 发布了有缺陷的 CPU,它给虚拟化代码带来了问题(我对此并不太在意),但现在要因为它的问题影响到本来就没有这些问题的 Linux 用户,这是完全没有意义的。” 在一番非常 Linus 式的回复下,Linus 对虚拟化的引用其实也是针对 AWS 的,AWS 和其他云服务提供商一样,销售的虚拟 cpu 通常启用了同步多线程(simultaneous multithreading,SMT)功能。Linus 接着指出,“在启用 SMT 的情况下,任务调度是分布式进行的,所以说,在任务结束与新任务开始之间刷新 L1D 缓存是非常愚蠢的。” 值得一提的是,AWS 的首席工程师 Benjamin Herrenschmidt 在与 Red Hat Linux 内核贡献者 Ingo Molnar 的讨论中也为该补丁的争论添加了一些背景。Herrenschmidt 承认这个补丁对 SMT 来说毫无意义,但他敦促 Linux 内核开发人员不要“把婴儿和洗澡水一起扔掉”,并反驳了这个补丁是因为 AWS 想把超线程作为虚拟 cpu 出售的说法。Herrenschmidt 说,“这些补丁并不是要解决运行 SMT 的客户 VM 内部出现的问题,也不是要保护 VM 免受同一系统上其他 VM 的攻击。” 事实上,Linus 已经不是第一次严辞拒绝与 Intel CPU 有关的补丁。2018 年初,为了修补 Spectre 漏洞,Intel 工程师提供了一个间接分支限制推测(indirect branch restricted speculation, IBRS)功能的补丁,Linus 当时就在邮件列表中公开指出 IBRS 会造成系统性能大幅降低。 而就在上个月,Linus 对自己的私人电脑进行了升级,同时公开了自己最新的主力机器配置,他把自己的 CPU 换成了 AMD Ryzen Threadripper ,放弃使用了 15 年的 Intel 处理器。     (稿源:开源中国,封面源自网络。)

WhatsApp 漏洞或已暴露用户的手机号码

某安全研究人员透露,WhatsApp 惊现一个允许在谷歌搜索引擎上暴露用户手机号码的 bug 。虽然不是所有用户的号码都被暴露,但这个问题还是引发了他们的关注。但若用户只与自己认识的 WhatsApp 用户交谈过(未使用过群组邀请链接),便有很大的几率不会受到本次漏洞的影响。   安全研究人员 Athul Jayaram 表示,WhatsApp 高管已经知晓了这个问题,但却对此无动于衷。据悉,该问题与今年早些时候推出的 WhatsApp 二维码功能有关。 WhatsApp 先前发布的群组邀请链接的工作方式,不同于新的二维码功能,但前者显然要更安全一些 —— 因为后者使用了未加密的 http://wa.me/ 短网址系统、且并未在链接中隐藏用户的电话号码。 当用户在新系统上分享二维码时,如果该网址被谷歌爬虫抓取,便极有可能被编入搜索引擎的索引结果中。如果你担心自己的号码也被意外收入,请通过 site:wa.me + 国家 / 地区代码的方式检索核实。 目前,如果通过 site:api.whatsapp.com 的方式检索,谷歌搜索引擎还会返回成千上万的检索结果。但除非 WhatsApp 高层正视该问题,否则此事的负面影响肯定还会持续。     (稿源:cnBeta,封面源自网络。)

2019 年热门开源项目当中的漏洞增加了一倍

一项分析前54个开源项目的研究发现,这些工具中的安全漏洞在2019年翻了一番,从2018年的421个bug到去年的968个。根据RiskSense今天发布的 “开源的黑暗现实 “报告,该公司在2015年至2020年3月期间发现流行的开源项目中报告了2694个bug。 该报告并不包括Linux、WordPress、Drupal等超级流行的免费工具项目,因为这些项目经常受到监控,安全bug也会成为新闻,确保这些安全问题大多能相当快地得到修补。 相反,RiskSense观察了其他流行的开源项目,这些项目并不那么知名,但被技术和软件社区广泛采用。其中包括Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppet等工具。 RiskSense表示,他们在研究过程中发现的一个主要问题是,他们分析的大量安全漏洞在公开披露后许多周后才被报告到国家漏洞数据库(NVD)。该公司表示,这54个项目中发现的bug通常平均需要54天左右时间才会被报告给NVD,其中PostgreSQL的报告延迟时间达到了8个月。由于网络安全和IT软件公司使用NVD数据库来创建和发送安全警报,报告延迟导致使用这些开源项目的公司仍然暴露在攻击面前。 RiskSense表示,自2015年以来,在其分析的所有54个项目中,Jenkins自动化服务器和MySQL数据库服务器的武器化漏洞最多,均为15个。虽然其他开源项目的bug较少,但这些bug有时更容易被武器化,例如Vagrant虚拟化软件和Alfresco内容管理系统当中的bug。 RiskSense认为,现在不仅需要改进开源项目内部处理安全漏洞的方式,而且需要整个行业进行改进,因为 开源项目正在以历史性的速度产生新漏洞。     (稿源:cnBeta,封面源自网络。)

报告称糟糕的安全设计破坏了 OmniBallot 在线投票系统

  根据麻省理工学院和密歇根大学的计算机科学家周日发表的一篇研究论文,一种名为OmniBallot的在线选票传递和投票服务在几个层面上存在安全漏洞。《纽约时报》首次报道的这篇论文称,软件制造商Democracy Live让选票容易被操纵,收集敏感的选民信息,并且在选票在互联网上传播时无法控制标记的选票。因此,该文件总结道该公司无法证实中途是否被操纵。 调查结果不包括具体的软件漏洞,而是得出结论,交付选票和接收回票的过程可能太容易被操纵。一个漏洞来源来自于该软件对第三方软件和服务的依赖,包括亚马逊、谷歌和Cloudflare等公司的软件和服务,而Democracy Live并不控制这些软件和服务。 “我们发现,OmniBallot使用了一种简单化的互联网投票方式,很容易被选民设备上的恶意软件以及内部人员或其他攻击者操纵投票,这些攻击者可以入侵Democracy Live、亚马逊、谷歌或Cloudflare,”研究人员在论文中说。 此外,研究人员并没有找到隐私政策,解释Democracy Live如何保护用户的身份、选票和可以在线识别用户身份的技术数据。 针对该报告,Democracy Live告诉CNET,其计划在其投票门户上提供隐私政策,供选民查看。Democracy Live还将在其系统未来的所有部署中提供投票验证工具。该公司还表示,虽然研究人员表示,不应该让选民选择以电子方式返回已标记的选票,但大多数州都要求像Democracy Live这样的供应商提供这一选项。该公司表示,OmniBallot电子退票系统比使用电子邮件附件或传真系统退票更安全,这些都是选民获得的其他选择。 最后,Democracy Live强调,其技术是为残障人士设计的,对他们来说,持有、阅读和标记纸质邮寄选票可能不是一个选择。“没有任何技术是‘防弹的’,”Democracy Live首席执行官Bryan Finney告诉《纽约时报》。“但我们需要能够让被剥夺权利的人获得选举权。” 这项研究凸显了围绕网络投票的问题,网络安全专家和美国国土安全部表示,网络投票存在着被黑客攻击和操纵的高风险。该研究结果也是在对邮寄投票以及处理选举的最佳方式,同时最大限度地减少COVID-19的传播进行激烈辩论的时候出现的。 最近美国有三个州表示将使用OmniBallot。研究人员能够在7个州和另外11个州内的98个较小的地方找到投票服务的网址,其中包括华盛顿州的一个县级保护区,此前有报道称他们使用了在线投票系统来提高选民投票率。 研究人员发现,OmniBallot在选民的网络浏览器上工作。选民验证身份后,会收到一份PDF格式的选票。根据他们的位置,选民可以打印空白选票,以电子方式标记选票,然后打印出来传真或邮寄,或者标记选票,然后在线提交。     (稿源:cnBeta,封面源自网络。)