分类: 今日推送

Intel 处理器现安全漏洞:可被黑客用作后门攻击

据外媒 8 月 29 日报道,莫斯科安全机构 Positive Technologies (以下简称 PT)研究人员近期发现 Intel Management Engine 11 存在 “ 死亡按钮 ”,允许黑客用作后门攻击。 Management Engine(管理引擎)由微控制器组成,与平台控制器中枢芯片协同使用,是 Intel 的一个固件接口,用于处理器与外围设备的通讯传输。 安全专家此前曾警告英特尔管理引擎存在漏洞风险,即攻击者可以利用 Intel ME 漏洞(CVE-2017-5689),在受影响的系统上建立后门并对其进行全方位控制。调查显示,该漏洞影响了 Intel  ME 技术(如主动管理技术 AMT、小型企业技术 SBT 与英特尔标准可管理性 ISM),允许黑客远程接管易受攻击的目标系统。目前,官方尚未发布漏洞修复补丁。 研究人员表示,一款名为 ME Cleaner 的黑客工具,虽然可以绕过 Intel ME 引擎,但无法彻底禁用芯片级别。另外,PT 于本周一发表声明,宣称美国国家安全局的高保障平台 HAP 可以通过修改配置文件封堵漏洞。然而, Intel 并不建议该做法,因为这种根据特定需求开发的工具缺少足够的安全评估时间。 本文根据 securityaffairs.co 与 凤凰科技 联合翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Windows 10 Build 16278 发布:再次修复诸多 BUG

微软于 8 月 30 日面向 Fast 通道用户发布 Windows 10 Build 16278 版本更新,这是最近两周的第三次版本更新,其中 Build 16273 于上周三发布,而 Build 16275 于上周五发布。在 Build 16275 版本中,暂时还无法激活 “ Skip Ahead ” 选项,从而跳过 rs_release 版本直接进入 RedStone 4 版本。 此外,本次放出的版本更新并没有任何新功能,主要集中在 BUG 修复和后台性能调整优化方面。Windows 10 Build 16278 中主要修复和改善的内容如下: ● 修复用户在安装辅助语言进行语音阅读的情况下可能导致升级失败的问题 ● 修复了在最近发布的 64 位系统中从 32 位应用中使用 v3 打印驱动进行打印出现的问题。 ● 该版本中已经移除了在 Xbox 应用中截取 HDR 截图的功能。我们计划在未来版本更新中重新引入这项功能。 ● 修复了 Edge 浏览器中拖拽可能导致网站间歇性故障的问题 ● 修复了钉选某些网站到开始菜单的时候可能导致 Edge 浏览器崩溃的情况 ● 修复了当鼠标没有悬浮在标签页上也会显示缩略图的情况 ● 修复了在 Edge 浏览器中全屏观看某些嵌入型视频之后,然后使用Esc返回之后可能导致视频播放控制条无法显示的情况。 ● 修复了 Edge 浏览器无法粘贴图片到 Imgur.com 网站的情况。 ● 修复了 Emoji 面板的工具提示可能混的情况。 ● 修复了在唤醒之后精准触控板无法支持手势的问题。 ● 修复了设备在升级版本之后电池可能会显示 “ PC无法充电 ” 的提示 ● 修复了字体文件夹中字体在使用快捷方式的时候可能无法使用或者消失的情况。 ● 修复了用户使用 Facebook 账号进行登陆导致多款应用崩溃的问题。 ● 为 DOMinFileSizeToCache 修复了 Delivery Optimization Group Policy / MDM 策略问题。 稿源:cnBeta,封面源自网络;

比灾难更可怕的是信任危机,欺诈者借飓风 “哈维” 开展网络钓鱼攻击

飓风 “ 哈维 ” 近期侵袭美国,致使得克萨斯州成为严重灾区。但更可怕的并非灾难本身,而是来自纷纷涌入社交媒体的欺诈者。大量的垃圾电子邮件、网络钓鱼诈骗以及伪装的 Facebook 帐 户开始充斥得克萨斯州网络,旨在从爱心人士的捐款中盗取资金。 首席安全顾问 Dan Lohrmann 表示:“得克萨斯州东南部面临着悲剧性的自然灾害,而互联网的黑暗一面却蠢蠢欲动,各种各样的在线欺诈者将黑手伸向全球爱心人士。已有报告指出,无论是当地的受害者还是有意向灾区捐款的爱心人士都收到各种欺诈信息。” 就如同在以前的灾难事件中遇到的一样,欺诈者利用各种方式诱导人们点击到类似 “ 飓风救济基金 ” 的链接,告诉人们能够通过他们的网站向灾区捐款。还有欺诈者将自己的 Facebook、Twitter 账户伪装成慈善网站的账户,但实际上都是垃圾邮件链接或传播恶意软件的链接。 美国证监会在 8 月 28 日发出警告,告诉那些有意帮助灾区人民的爱心人士应警惕网络欺诈活动,以减轻由于网络欺诈活动带来的信任危机。建议人们在处理任何与飓风 “ 哈维 ” 相关主题、附件或超链接的电子邮件时需要保持警惕,即使它似乎看上去来自可信赖的来源。此外,研究人员呼吁全球爱心人士留意电子邮件的来源以及各种号称“捐款组织”的链接,并且不要将向那些不交税的捐款组织汇款。 稿源:黑客视界、搜狐,封面源自网络;

无人机制造商大疆(DJI)推出漏洞赏金计划,最高可达 3 万美元

美国军方于 8 月初宣布了一份内部备忘录,称因为存在网络安全漏洞,下令停止使用所有中国企业大疆创新(DJI)生产的无人机设备。近期,无人机制作商 DJl 推出漏洞赏金计划,旨在确保产品安全问题。 深圳市大疆创新科技有限公司(DJI)于 2006 年成立,是全球领先的无人飞行器控制系统及无人机解决方案的研发和生产商,客户遍布全球100多个国家。 调查显示,DJI 对漏洞赏金参与者的赏金从 100 美元起步,详细金额依据漏洞的潜在影响而定,最高可达 30000 美元。DJI 技术总监 WalterStockwell 称:“ 安全研究人员、学者和独立专家常常会帮忙剖析 DJI app 和其他软件产品的代码并提供有价值的服务。我们一直努力提高产品的安全性,为此我们乐意嘉奖他们的发现。” 目前,为进一步检测产品的安全性能,DJI 还将实行一种新 “ 内部多步审批流程 ”(即在软件发布或更新之前必须经多部门安全审查),以确保客户使用稳固牢靠的 DJI 产品。 稿源:巴中新闻网、搜狐,封面源自网络;

硅谷科技巨头正努力解决全球近 40 亿用户无网可上问题

据国外媒体 BuzzFeed  8 月 30 日报道,全球接近 40 亿人口无网可上,而硅谷最大的那些科技公司正在想方设法来解决这一问题。如今,全球网络覆盖率比以往如何时候都要高,谷歌最近称它的 Android 移动操作系统拥有超过 20 亿的用户,而 Facebook 表示它的月活跃用户规模也达到同样的量级。不过,全球各地仍有 40 亿人口还是无法上网。非洲和南亚的互联网普及程度尤其低:全世界互联网普及率最低的国家之一是刚果民主共和国,该国只有 3.8% 的人口有网可上。 目前谷歌、Facebook、SpaceX 等知名科技公司和一众其它的初创公司都在设法让全球其余人口能够接触网络。这些公司的动机并非完全没有私心。此造价不菲的项目有着双重目的:一来在公众中树立良好的公司形象,二来寻求触及潜在的数十亿新联网用户,寄望他们将会使用它们旗下的产品服务。 Ο 网络连接的 “ 最后一公里 ” 问题 这种互联网普及项目可能会给农村地区和其它地区的居民带来很大的影响。对于蜂窝网络提供商来说,在那些地区部署成本高昂的大型基站来服务可能承担不起上网费用的小部分人群,从经济角度来看是行不通的。宽带网络的意义并不只是让更多的人能够上像 “ 阅后即焚 ” 通讯应用 Snapchat 这样的应用服务;它有潜力改变人们获取工作机会、教育和资讯的方式。政府有时会站出来投资建设民营公司不愿投资的数字基础设施,但这更多地发生在赋予的发达国家,而非发展中国家。 Ο 科技巨头的进展 特斯拉和 SpaceX CEO 伊隆·马斯克(Elon Musk)想要用数千个轨道运行卫星覆盖地球的大气层,以此形成一个全球通信网络来将数据传送到地面的设备。不过,SpaceX 的首批卫星要到 2019 年才会发射。马斯克最大的竞争对手卫星初创公司 OneWeb 打算打造类似的网络来为整个地球提供 LTE 网络服务,它也希望在 2019 年发射相关的卫星。 社交网络巨头 Facebook 也开发了一个旨在给撒哈拉以南非洲的部分地区带来网络的卫星。2016 年 9 月,Facebook 的新卫星登上 SpaceX 的猎鹰九号( Falcon 9 )火箭。可惜的是,该火箭最终爆炸,摧毁了 Facebook 的卫星。 该公司手头还有另外一个计划:打造太阳能驱动的自动化网络提供无人机 Aquila。该款无人机的翼展比波音 737 飞机还要长。该社交网络的计划是,部署一群高空飞行的无人机,它们会通过激光相互通信,一次可飞行数个月之久。Aquila 旨在给 60 英里范围内的人发送无线网络信号。该项与高空飞行 90 天的目标还相距甚远。6月,该无人机仅完成了1个小时46分钟的飞行。 相比 Aquila,谷歌旗下 “ 登月项目工厂 ” X 的 Project Loon 项目是一个更接近于实现目标的高空解决方案。跟 Aquila 一样,Project Loon 是一种空中互联网网络——只不过它使用的并不是无人机,而是漂浮在平流层的氮气球。Project Loon 的飞行记录是 190 天,虽然该项目还处于测试阶段,但它的气球已经能够给秘鲁的数万人口提供网络连接服务。2 月,Project Loon 宣布它已经开发了机器学习导航算法,那些算法可让它向特定的地区发出数量较小的气球(数十个,而非数百个),因此能够大大降低项目的运营成本。不过,该项目也并非一帆风顺。Project Loon 在过去的一年里已经换帅两次。它的一项涉及气球导航的主要专利也被美国专利商标局取消,因为一家名为 Space Data 的公司提起诉讼,声称自己是最早提出该想法的。 Ο 前进阻力 然而,缺少实体基础设施,并不是互联网在全球范围进一步普及的唯一阻力。设备购买能力、识字水平和打造支持本地语言的网站,同样是让全球其余地区触网的关键。此外,无人机、气球和数千个卫星或许并不能消弭最需要互联网的地区的数字鸿沟。 虽然这些项目听上去都充满希望,但它们在完成大范围的测试阶段后实际上能否派上用场,仍有待观察。硅谷资助的互联网普及项目过往引起了一些争议,比如 Facebook 在印度的 Free Basics 免费网络项目。政府的批准和蜂窝网络提供商的合作,对于这些项目的进展也至关重要。 稿源:cnBeta,封面源自网络;

印尼数千台 ATM 机因卫星故障罢工

据外媒报道,由于国有印尼电信公司运营的卫星发生故障,导致印度尼西亚数千台 ATM 机和电子卡支付机下线。然而,全面恢复服务可能需要两周时间。 印尼电信公司总裁 Alex Sinaga 称,Telkom-1 卫星故障影响了印尼的 1.5 万地面基站。该卫星被政府机构、银行、广播公司等广泛使用。据悉,卫星天线的方向于 8 月 25 日发生改变,破坏了设备连接性。目前,印尼最大的亚洲中央银行 30% 的 ATM 机受到卫星中断影响。 稿源:solidot奇客,封面源自网络;

曾入侵卡塔尔国家通讯社引发“断交危机”的五名黑客在土耳其被捕

5 月 24 日,卡塔尔国家通讯社遭黑客入侵,攻击者引用卡塔尔国家元首 Sheikh Tamim bin Hamad al-Thani 的发言,就卡塔尔与伊朗、以色列友好而批评美国总统特朗普等敏感政治话题展开叙述。随后,虽然卡塔尔经调查指出该网站发布的政治信息均为虚假言论,但该起事件已然成为巴林、沙特阿拉伯、阿联酋等国与卡塔尔断绝外交关系的导火索。 近期,卡塔尔总检察长 Ali Bin Fetais al-Marri 发表声明,宣称 5 月涉嫌入侵卡塔尔国家通讯社的五名黑客已被土耳其扣留。目前,黑客仍在接受审讯,而调查人员尚未透露黑客姓名、国籍与联系方式等详细细节。此外,卡塔尔检察官也正与土耳其当局联合处理此次事件。 目前断交危机严重影响卡塔尔国家建设,伊朗、土耳其等国也纷纷伸出援手提供资源。据悉,卡塔尔于本月 24 日正式宣布与伊朗全面恢复外交关系。与此同时,卡塔尔与土耳其的关系也在进一步拉近。 原作者:Hyacinth Mascarenhas,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

僵尸网络 WireX:黑客利用数十万 Android 设备发动 DDoS 攻击

据外媒报道,黑客继去年利用大量不安全物联网设备发动 DDoS 攻击后开始转向另一种极其流行且安全的设备展开新一轮攻击,即运行 Google Android 系统的智能手机与平板设备。 调查显示,攻击者利用官方应用商店传播的恶意程序创建 Android 僵尸网络发动 DDoS 攻击。据悉,被称为 WireX 的僵尸网络在其高峰时最高控制 100 多个国家逾 12 万 IP 地址。然而,当前各企业很难抵御这种 IP 地址遍布全球的 DDoS 攻击。 研究人员表示,他们已在 Google 官方应用商店中发现 300 余款应用软件与僵尸网络 WireX 有关,其中多数应用主要提供铃声、视频或存储管理器等服务。目前,Google 经证实后紧急下架部分应用以减少目标设备沦为 DDoS 攻击的动力来源。据悉,这些应用程序多数由俄罗斯、中国与其他亚洲国家的用户下载,尽管 WireX 僵尸网络当前仅在小规模攻击活动中处于活跃状态。 幸运的是,在该 Android 僵尸网络膨胀到难以控制前,包括 Cloudflare、Akamai、Flashpoint、Google、Dyn 等在内的科技公司已积极采取行动并对其进行联合打击。此外,如果用户设备运行的是 Android 操作系统的最新版本,那么该系统中包含的 Google Play Protect 功能将会自动移除已下载的恶意 WireX 应用。目前,研究人员建议用户从 Google 官方商店下载应用程序并始终在移动设备上保持全方位杀毒软件,以便在感染设备前阻止恶意程序下载。 本文根据 thehackernews 与 solidot奇客 联合翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

特朗普政府未重视网络威胁预警,现已有八名安全顾问辞职表态

美国总统唐纳德·特朗普(Donald Trump)在解散了两个咨询委员会后的一个星期,另一个白宫小组 – 国家基础设施咨询委员会(NIAC)28 名成员当中也已经有 8 名成员于上周辞职,他们在辞职信中表示,其辞职原因在于政府对网络安全威胁估计和准备不足,同时他们也不满唐纳德·特朗普对夏洛特斯维尔集会所采取的态度和回应。 2001 年,美国前总统乔治·布什(George W. Bush)成立 NIAC,就关键基础设施部门及其信息系统的安全提出建议,其成员总数最多可达 30 人,由私营部门,学术界和州和地方政府选出。现在,这些辞职成员表示,美国人所依赖的关键制度所面临的网络安全威胁日益增长,对民主选举进程制度的威胁日益增长,政府和 NIAC 都没有给予足够的重视。 同时这些辞职的成员也表示,特朗普对夏洛茨维尔事件没有给予有力谴责,他们不能容忍仇恨和暴力。此外,他们还抨击特朗普总统采取的虚假对等性。据悉,一些离开 NIAC 的安全顾问包括第一位白宫首席数据科学家 DJ Patil,以及前科技部政策主管克里斯汀·多尔洛斯和白宫理事会环境质量总监克里斯蒂·戈德富斯( Christy Goldfuss )与特斯拉老板、高调技术人士 Elon Musk。 稿源:cnBeta,封面源自网络;

Zimperium 研究人员在线发布 iOS 核心漏洞概念验证攻击程序

据外媒报道,安全研究人员于今年三月发现苹果 iOS 系统的 AVE 驱动模块存在多处安全漏洞,允许攻击者在进行提权并造成闪存损坏后完全控制 iOS 移动设备。调查显示,该漏洞仅适用于所有 64 位 iOS 10.3.1 版本。随后,网络安全公司 Zimperium 研究人员 Adam Donenfeld 于近期在 iOS 10.3.2 中对此漏洞进行修复后在线发布 iOS 核心漏洞概念验证( PoC )攻击程序 ziVA。 调查显示,该程序集成并利用 iOS 系统中的七处漏洞展开攻击,最终可以通过漏洞进行提权并直接控制整个设备,其漏洞分别包括: CVE-2017-6979、CVE-2017-6989、CVE-2017-6994、CVE-2017-6995、CVE-2017-6996、CVE-2017-6997、CVE-2017-6998 与 CVE-2017-6999。 概念验证程序的发布仅仅意味着 iOS 越狱开发团队可以借助上述漏洞针对 iOS 10.3.1 及早期版本开发越狱工具。目前,研究人员建议用户尽快升级到 iOS 最新版本以确保设备安全。 ziVA 概念验证程序地址及相关说明:https://blog.zimperium.com/ziva-video-audio-ios-kernel-exploit/ 本文根据 securityaffairs.co 与 蓝点网 内容翻译整理,编辑:青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。