分类: 漏洞事件

苹果电脑“快速查看”存在漏洞 或可泄密加密数据

新浪科技讯 北京时间6月19日下午消息,一般认为,自十多年前“快速查看”这一功能推出以来,这个安全漏洞就已存在。本月初,安全研究员Wojciech Regula在博客中详细描述了这一安全漏洞。Patrick Wardle在Regula的帮助下,上周在博客文章中提供了对该漏洞的深度解释,随后这篇文章于周一被外媒“The Hacker News”注意到。 Regula指出,苹果的“快速查看”机制可生产并缓存文件、图像、文件夹和其他数据的缩略图,以便macOS快捷访问。这个功能允许Mac用户快速地通过敲击空格键以预览上述提及信息。跟以来专门的应用不一样(比如预览PDF文件的Acrobat等),macOS可以使用OS技术“快速查看”文件。 “快速查看”的文件处理方式,这个问题在8年前就已经提到过。苹果的这个功能把缩略图缓存在未经加密的驱动其上,意味着源文件的碎片——哪怕是保存在加密存储器上的那些文件——也可能暴露在别有用心的人眼下。 “这意味着,所有你通过空格键(或用快速查看独立缓存过的)预览过的照片都作为缩略图,连同其存储路径,一并保存在该目录下,”Regula写道。 为验证其说法,Regula创建了一个概念证明,其中两个图像分别保存在两个独立的加密容器内,一个以VeraCrypt创建,另一个以macOS的加密HFS+/APES创建。研究员可以通过一个简单的指令找到这两个图像并他们各自的路径,反过来提供了原文件的微缩版本访问权限。 Wardle补充说,“快速查看”的缓存功能也适用于外部的USB驱动器,缩略图保存在主机的启动驱动器上。他进一步指出,尽管“快速查看”漏洞不会泄露给定文件的全部内容,但其提供的部分内容足够为不法分子或执法机构利用。 也就是说,苹果对这个问题进行修补其实相对容易。Wardle表示,苹果可以降级“快速查看”预览到位于外部加密容器上的文件,或者,也可以在卸载卷的时候清楚缩略图缓存。 在没有官方补丁的情况下,担心敏感数据可能会泄露的用户可以在使用qlmanage实用程序卸载容器时选择手动删除“快速预览”缓存。   稿源:新浪科技,封面源自网络;

车联网时代的麻烦:网络攻击让车谎报信息造成拥堵

是什么算法让这些交通信号灯变红的呢? 6月13日消息,据国外媒体报道,研究人员称,一种针对交通算法的新型攻击会使得网联车谎报车辆的位置和速度信息,因而对智能城市和交通状况构成威胁,比如造成严重交通堵塞。 汽车之间能够互相通信(还有汽车能够与红绿灯、停车标志、护栏甚至是人行道上的标记通信)的时代————正在快速临近。在减少交通拥堵和避免撞车的宗旨的驱动下,这些系统已经在美国各地的道路上推出。 例如,在美国交通部的支持下开发的智能交通信号系统(Intelligent Traffic Signal System),已经在亚利桑那州和加利福尼亚州的公共道路上进行了测试,并在纽约市和佛罗里达州的坦帕市进行了更广泛的部署。该系统可以让车辆与红绿灯共享实时位置和速度,这些信息能够用于根据实时交通需求有效地优化交通时间,从而大幅减少车辆在十字路口的等待时间。 来自密歇根大学的RobustNet研究团队和密歇根交通实验室的研究的重点是,确保这些下一代交通系统的安全性,使得它们免受攻击。到目前为止,他们发现它们实际上是相对容易被欺骗的。只要有一辆汽车在传输假数据,就会造成严重的交通堵塞,几起攻击并发则可能会导致整个区域交通瘫痪。尤其值得忧心的是,那些研究者发现,问题并不在于底层的通信技术,而在于用于管理流量的算法。 误导算法 一般来说,算法是要接收各种各样的输入信息——比如在十字路口附近的不同位置有多少辆车——并计算出满足特定目标的输出信息——比如最小化在交通灯处的集体延迟。与大多数算法一样,智能交通信号系统中的交通控制算法——昵称“I-SIG”——假设它得到的输入信息是真实的。这并不是一个可靠的假设。 现代汽车的硬件和软件可以通过汽车的诊断端口或无线连接进行修改,进而引导汽车传输错误的信息。想要破坏I-SIG系统的人可以用这种方法来侵入自己的汽车,把车开到目标十字路口,然后在附近停下。 研究者发现,车辆一旦停在十字路口附近,攻击者就可以利用控制红绿灯的算法的两个漏洞来延长特定车道得到绿灯的时间——同样地,也会延长其他车道得到红灯的时间。 研究者发现的第一个漏洞被称为“最后的车辆优势”,可被利用来延长绿灯信号长度。该算法会监视正在接近十字路口的车辆,估计车辆队伍的长度,并确定所有车辆通过十字路口所需的时长。这种逻辑帮助系统在每一轮的红绿灯变化中服务尽可能多的车辆,但它可能会被滥用。攻击者可以指示车辆向系统发出它要很迟才加入车辆队伍的错误报告。然后,算法会让受攻击的绿灯保持足够长的时间,以便让这辆不存在的汽车通过——相应地,其他车道上的红灯比路上实际行驶的汽车需要的时间要长得多。 研究者将第二个漏洞称之为“过渡时期的诅咒”或“幽灵车攻击”。“I-SIG算法的构建是为了应对不是所有的车辆都能相互通信的事实。”它使用较新的网联车的驱动模式和信息来推断不支持通信的旧车的实时位置和速度。因此,如果一辆联网的汽车报告说它在距离十字路口很远的地方停下来,算法就会假设该车辆前面的车辆队伍很长。然后系统会为那条车道分配长时间的绿灯,因为它认为车辆队伍很长,但实际上并不长。 这些攻击是通过让一辆车谎报自己的位置和速度而发生的。这与已知的网络攻击方法非常不同,比如向未加密的通信中注入消息,或者让未经授权的用户登录特权账号。因此,已知的针对这些攻击的保护措施对谎报信息的车辆毫无用处。 算法被误导的后果 这两种攻击方式任意一种的使用,或者相互配合使用,让攻击者能够给没有或者很少车辆的车道分配时间过长的绿灯,给最繁忙的车道分配时间过长的红灯。这最终会导致大规模的交通堵塞。 这种针对红绿灯的攻击可能只是为了好玩,也可能是为了攻击者自身的利益。例如,想象一下,有人为了获得更快的通勤速度而调整自己所在车道的交通灯时间,其他的司机则受到延误。犯罪分子也可能会试图通过攻击红绿灯,来快速逃离犯罪现场或者摆脱追捕的警车。 该类攻击甚至还有政治或经济上的危险:密谋的组织可能会破坏城市的几个关键十字路口的红绿灯系统,以此来要求支付赎金。这比其他堵塞十字路口的方法(如在车流中停车)有破坏性得多,也更容易逃脱。 由于这种类型的攻击利用了智能交通控制算法本身,修复它需要来自交通领域和网络安全领域的共同努力。这包括要考虑到这类研究的一大教训:支撑交互系统的传感器——比如I-SIG系统中的车辆——并不是完全值得信赖。在进行计算之前,算法应该尝试验证它们使用的数据。例如,交通控制系统可以使用其他的传感器——比如已经在全国范围内使用的道路传感器——来复核道路上到底有多少辆车。 这只是研究者对未来智能交通系统中新型安全问题的研究的一个开始,他们希望这一研究日后既能发现漏洞,又能找到保护道路和司机的方法。   稿源:网易科技,封面源自网络;

以太坊客户端 Geth 出漏洞,超过 2000 万美元的数字货币被盗

近日,360 Netlab 调查发现,因为运行不安全的客户端 Geth,在过去几个月里,被盗的以太坊价值超过了2000万美元。 Geth 是一款常用的客户端,运行以太坊节点。用户可以用 Geth,通过 JSON-RPC 界面远程管理钱包。黑客可通过扫描与以太坊网络进行通信的 8545 端口,寻找暴露 JSON-RPC 的加密货币钱包,进而窃取货币。据了解,黑客一共窃取了 38,642 以太币,价值超过 2050 万美元。   稿源:Freebuf,封面源自网络;

由于软件漏洞 1400 万 Facebook 用户的私密帖子被公开

新浪科技讯 北京时间6月8日凌晨消息,本周四,Facebook向约1400万用户发出通知,称发现了一个软件漏洞,导致用户发表的认为只有朋友可见的私密帖子实际上所有人都看得到。 一般来说,一个Facebook用户发布的帖子都是预先设置好可见范围的,并不是所有用户都能看到。然而,今年5月18日到5月27日间出现的一个软件漏洞导致这些用户发布的帖子都默认对所有用户可见。 虽然在发布时这些帖子都明确带有“公开”标记,但习惯了自己预设置的帖子可见范围的用户可能并没有注意到这个变化。 Facebook表示已经对受影响的帖子进行了修复,即把可见范围从“公开”变回用户的默认可见设置。目前为止,该项修复工作已经完成了。另外,Facebook还通知了约1400万受此软件漏洞影响的用户,给他们都发送了一个警示通知。 Facebook首席隐私官艾琳·伊根(Erin Egan)在一份声明中说:“从今天开始我们向所有受影响的用户发送通知,要求他们再次查看在受影响期间发布的帖子的可见范围是否都改回了自己预先设置的。” 伊根说:“我们为该过失道歉。” 对于导致该问题的原因,Facebook解释称是因为一个允许用户在其个人信息,如发表的图片上添加标签的功能。这个被添加了标签的图片被系统默认设置为公开可见,由于软件漏洞,导致一段时间内用户发表的帖子都应用了此设置。   稿源:新浪科技,封面源自网络;

Git 曝任意代码执行漏洞,所有使用者都受影响

Git 由于在处理子模块代码库的设置档案存在漏洞,导致开发者可能遭受任代码执行攻击,多数代码托管服务皆已设置拒绝有问题的代码储存库,但建议使用者尽快更新,避免不必要的风险。 Microsoft Visual Studio 团队服务项目经理 Edward Thomson May 在 DevOps 博客中提到,Git 社区最近发现 Git 存在一个漏洞,允许黑客执行任意代码。 他敦促开发人员尽快更新客户端应用程序。 微软还采取了进一步措施,防止恶意代码库被推入微软的 VSTS(Visual Studio Team Services)。 此代码是 CVE 2018-11235 中的一个安全漏洞。 当用户在恶意代码库中操作时,他们可能会受到任意代码执行攻击。 远程代码存储库包含子模块定义和数据,它们作为文件夹捆绑在一起并提交给父代码存储库。 当这个代码仓库被来回复制时,Git 最初会将父仓库放到工作目录中,然后准备复制子模块。 但是,Git 稍后会发现它不需要复制子模块,因为子模块之前已经提交给父存储库,它也被写入工作目录,这个子模块已经存在于磁盘上。 因此,Git 可以跳过抓取文件的步骤,并直接在磁盘上的工作目录中使用子模块。 但是,并非所有文件都可以被复制。 当客户端复制代码库时,无法从服务器获取重要的配置。 这包括 .git 或配置文件的内容。 另外,在 Git 工作流中的特定位置执行的钩子(如Git)将在将文件写入工作目录时执行 Post-checkout 钩子。 不应该从远程服务器复制配置文件的一个重要原因就是,远程服务器可能提供由 Git 执行的恶意代码。 CVE 2018-11235 的漏洞正是犯了这个错误,所以 Git 有子模块来设置漏洞。 子模块存储库提交给父存储库,并且从未实际复制过。 子模块存储库中可能存在已配置的挂钩。 当用户再次出现时,恶意的父库会被精心设计。 将写入工作目录,然后 Git 读取子模块,将这些子模块写入工作目录,最后一步执行子模块存储库中的任何 Post-checkout 挂钩。 为了解决这个问题,Git 客户端现在将更仔细地检查子文件夹文件夹名称。 包含现在非法的名称,并且它们不能是符号链接,因此这些文件实际上必须存在于 .git 中,而不能位于工作目录中。 Edward ThomsonMay 提到,Git,VSTS 和大多数其他代码托管服务现在拒绝使用这些子模块配置的存储库来保护尚未更新的 Git 客户端。 Git 2.17.1 和 Windows 的 2.17.1 客户端软件版本已经发布,微软希望开发人员尽快更新。   稿源:开源中国,封面源自网络;  

T-Mobile网站的又曝漏洞:任何人只需一个电话号码就可以访问客户信息

T-Mobile客户:您的数据又一次遭到了威胁。这一次的罪魁祸首似乎是一个名为“copypasta”的bug,一位安全研究人员最近在T-Mobile的网站上公开可见的一个子域中发现了一个bug,这个bug让任何人都只用一个电话号码就可以访问客户数据。感觉T-Mobile想要赢一个最佳bug奖。 这一次,在promotool.t-mobile.com上的一个被隐藏得不够明显的API中,这显然是一个针对员工的“Customer Care Portal”,它允许任何人通过将客户的电话号码附加到这个URL的末端来访问T-Mobile客户数据- 不需要密码。 据ZDNet称,这样做会泄露客户的全名,账单账号,账户状态信息(例如过期账单或账户暂停)以及账户PIN(用于启动客户服务交互)。在某些情况下,税务识别号码会被暴露。 安全研究员Ryan Stevenson发现了这个bug,并在4月初向T-Mobile报告,为此他收到了1000美元的bug奖励。在Stevenson提醒他们的一天之后,这家运营商终止了该API。 “我们已经快速了修复了该错误,而且我们没有证据显示有任何客户信息都被访问过,”T-Mobile发言人告诉ZDNet。 这应该听起来很熟悉,因为去年秋天它曾出现过类似的bug。在这种情况下,尽管T-Mobile宣称它在24小时内进行了纠正,但黑客似乎还是有几周的时间可以利用这个漏洞。去年年底,该运营商解决了暴露用户登录记录的另一个网站bug。 如果您是T-Mobile的客户,并认为您的个人信息被盗,并被用于了设置新帐户或对当前帐户进行更改,您可以与运营商合作纠正这种情况。   稿源:搜狐科技,封面源自网络;

区块链平台 EOS 现系列高危安全漏洞

5 月 29 日,360 公司宣布,Vulcan(伏尔甘)团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管 EOS 上运行的所有节点。 29 日凌晨,360 已将该类漏洞上报 EOS 官方,并协助其修复安全隐患。在修复这些问题之前,不会将 EOS 网络正式上线。 在攻击中,攻击者会构造并发布包含恶意代码的智能合约,EOS 超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。 由于已经完全控制了节点的系统,攻击者可以“为所欲为”,如窃取 EOS 超级节点的密钥,控制 EOS 网络的虚拟货币交易;获取 EOS 网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。 更有甚者,攻击者可以将 EOS 网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费“矿工”,挖取其他数字货币。 EOS 是被称为“区块链3.0”的新型区块链平台,目前其代币市值高达 690 亿人民币,在全球市值排名第五。360 方面称,这类型的安全问题不仅仅影响 EOS,也可能影响其他类型的区块链平台与虚拟货币应用。   稿源:雷锋网,作者:李勤,封面源自网络;

安全漏洞频出,Office 365 将自 2019 年 1 月起封锁 Flash

微软周二发布公告称,Office 365将封锁Adobe Flash、Shockwave及Silverlight控件。 由于频频传出安全漏洞,Adobe去年宣布,2020年起不再支持Flash,各大主流浏览器包括Chrome、Safari、Firefox及Edge也都列出停止支持Flash的时间表。 为此,Office 365也做了相应的调整,将开始封锁Flash、Shockwave及Silverlight控件。受到影响的功能包括Office文件嵌入的控制,例如利用Insert object功能,在PowerPoint文件直接嵌入Flash影片或是PowerPoint中使用Silverlight的外挂等,不过使用Insert Online Video功能的控制不受影响。 另外,这项变动仅适用于Office 365,不影响Office 2016、Office 2013或Office 2010。微软将依不同“通道”分阶段实施封锁。每月通道(monthly channel)从今年6月即开始封锁。Office 365半年通道将于2018年9月起启动封锁,而从2019年1月开始,Office 365半年通道也会加入。   稿源:ithome,封面源自网络;

宝马多款车型被曝通用安全漏洞,可被黑客远程攻击

5月22日,腾讯科恩实验室对外发布了宝马多款不同车型上的14个通用安全漏洞,这些漏洞可以通过物理接触和远程无接触等方式触发,据其官方博客透露,目前所有漏洞细节和攻击方法均已得到宝马官方确认。 重点分析汽车暴露在外部的攻击面 据其官方博客介绍,研究始于2017年1月,实验室对多款宝马汽车的车载信息娱乐系统(Head Unit)、车载通讯模块(T-Box)和车载中心网关(Central Gateway)的硬件进行研究后,把重点放在了分析汽车暴露在外部的攻击面(包括GSM网络、BMW远程服务、BMW互联驾驶系统、远程诊断、NGTP协议、蓝牙协议、USB以及OBD-II接口),通过对宝马多款车型的物理接触和远程非接触式攻击,证明可以远程破解车载信息娱乐系统、车载通讯模块等,获取CAN总线的控制权。 目前,科恩实验室已经向宝马报告了漏洞和攻击链的详细细节,并提供了技术分析及相关修复建议。 漏洞攻击链 科恩实验室完成破解车载通讯模块和信息娱乐系统后,经过进一步分析,组合利用这些安全漏洞实现了完整的本地攻击链和远程攻击链。 据介绍,本地和远程攻击链的最终目的都是实现从车载网关向不同 CAN 总线(例如: PT-CAN、K-CAN)发送诊断命令来影响车上的电子控制单元(ECU), 进而影响车辆功能。 ▲本地攻击链 ▲远程攻击链 影响范围 漏洞主要存在于宝马车载信息娱乐系统(Head Unit)、车载通讯模块(T-Box)和车载中心网关(Central Gateway)三大模块中,基于实验经验,车载信息娱乐系统中的漏洞可以影响宝马多款车型,包括i系、X系、3系、5系、7系等,而车载通讯模块中的漏洞影响自2012年以来的所有搭载该模块的宝马车型。 据悉,所有可以通过蜂窝网络发起的攻击,宝马已于2018年3月开始修复措施,这些措施已在4月中旬通过宝马配置文件更新功能对外推送更新。 其余的安全缓解措施宝马正在研发中,后续会通过可选的软件安全补丁方式,车主可以通过宝马官方维修渠道获取。 关于具体的漏洞细节,科恩实验室计划在2019年正式对外发布包含所有漏洞细节的宝马安全报告。   稿源:雷锋网,封面源自网络;

英特尔、微软公布漏洞出现新变体 未来几周发布补丁

本周一,英特尔和微软公布了一个 Spectre and Meltdown 安全漏洞的新变体,存在该漏洞的芯片被广泛应用于计算机和移动设备上。 英特尔称该新发现的漏洞为“变体4号”。该公司表示,尽管该最新变体与今年一月份发现的安全漏洞属于同种类型,但它使用了一种不同的获取敏感信息的方法。 Spectre and Meltdown安全漏洞还在继续影响着英特尔、ARM、和AMD等芯片厂商,这些公司生产的计算机和移动设备芯片中大多存在此漏洞。该漏洞使得黑客能读取计算机CPU上的敏感信息,已经在过去二十年内影响了数百万的芯片。尽管类似苹果、微软、英特尔这样的厂商都在发布修补该漏洞的补丁,但有些补丁并不管用,并且还导致计算机出现故障。 黑客们经常在线搜寻各类漏洞,以对存在该漏洞的计算机实施攻击。比如,去年造成严重影响的WannaCry勒索软件攻击就利用的是一个微软已经修补了的漏洞,没有安装系统安全更新的电脑更易受到攻击。 据英特尔发表的一篇博客文章显示,该公司将这个“变体4号”漏洞标记为中级风险,因为与该漏洞有关的浏览器的多个缺陷已经通过首个补丁包解决了。该新变体利用的是“Speculative Store Bypass”,该缺陷能使处理器芯片向潜在的不安全区域泄露敏感信息。 英特尔表示,还没有发现有黑客在利用这个漏洞发起攻击,并将在未来几周内发布修补此漏洞的安全补丁。英特尔主管安全的高级副总裁莱斯利·库尔本森(Leslie Culbertson)在博客文章中提到,将向硬件厂商和软件开发商提供该漏洞的补丁。她表示,这次的补丁更新不会出现以往影响计算机性能的情况了。 在一份由微软公布的安全报告中,该公司称此次发现的漏洞变体可能使得黑客能在浏览器的JavaScript中植入攻击脚本。 来自谷歌Project Zero项目的研究人员首次发现了该漏洞的初始版本,并在今年二月份向英特尔、AMD和ARM公司报告了此漏洞。该团队同样将该变体标记为中等严重风险。   稿源:新浪科技,封面源自网络;