分类: 漏洞事件

iOS 再现“漏洞”这样操作控制中心设备会崩溃

iOS 系统中有时会冒出奇奇怪怪的漏洞。在这些漏洞的基础上,只要用户进行某些操作,设备就会崩溃或者重启。最近又有用户在 iOS 中发现了这样的 “ 漏洞 ”,这个漏洞会导致设备停止响应并重启。不过在这里要提醒用户的是,对于苹果修复这个“漏洞”不要抱太大的希望。 意大利网站 AmiciApple 表示,在最新的 iOS 10.3.2 测试版中这个“ 漏洞 ”仍可用。用户只要调出控制中心,然后同时选择 Night Shift、AirDrop 以及控制中心最后一栏的任意一项(闹钟、计算器或相机),设备就会死机,几秒钟之后它会自动重启,恢复正常。如果没有自动重启的话,用户也可以手动重启。 iOS 系统中出现过不少类似的漏洞。2015 年就有网友曝光 iOS 上存在一个漏洞,只要一条“ Effective Power ”信息就能让你的 iPhone 死机。这也快被网友们玩坏了,纷纷给自己的 iPhone 朋友发这条短信,让对方的手机进入死机状态。 目前有很多网友发现了这些错误“杀死”iPhone 及 iPad 的方法,但是我们在这里提醒大家:请勿模仿,恶意利用系统漏洞令别人的装置不能使用有可能违反某些地区的法律法规。 稿源:cnBeta、威锋网  ;封面源自网络

新型钓鱼手段预警:你看到的 аррӏе.com 真是苹果官网?

研究人员发现一种“几乎无法检测”的新型钓鱼攻击,就连最细心的网民也难以辨别。黑客可通过利用已知漏洞在 Chrome、Firefox 与 Opera 浏览器中伪造显示合法网站域名(例如:苹果、谷歌或亚马逊等),窃取登录或金融凭证等敏感信息。 说到辨别钓鱼网站的最佳方式,我们最先想到的是检查地址栏并查看网址是否已开启 HTTPS,然而,如果浏览器地址栏显示的是“www.аррӏе.com”,你是不是 100% 确信它是苹果官网呢? △ 网址 www.аррӏе.com 是 Wordfence 安全专家为演示漏洞而创建的欺诈网址,实际为域名“epic.com ”。 Punycode 网络钓鱼攻击 Punycode 是一种供 Web 浏览器将 Unicode 字符转换为支持国际化域名( IDN )系统 ASCII( AZ,0-9 )有限字符集的特殊编码。例如,中文域名 “ 短.co ” 在 Punycode 中表示为“ xn--s7y.co ”。通常情况下,多数 Web 浏览器使用“ Punycode ”编码表示 URL 中的 Unicode 字符以防御 Homograph 网络钓鱼攻击。 研究人员表示,上图演示的漏洞依赖于 Web 浏览器仅将一种语言的 Punycode URL 作为 Unicode 的事实(如仅限中文或仅限日文),而对于域名包含多种语言字符的情况则无效。这一漏洞允许研究人员注册一个在所有存在漏洞的 Web 浏览器(如 Chrome、Firefox 与 Opera )上显示为 “ apple.com ” 的域名 xn—80ak6aa92e.com ,并绕过保护措施。 换句话说,你以为看到的是苹果官网 “apple.com”,实际上它是网站“xn—80ak6aa92e.com”,也就是“epic.com”。不过,经过小编们的大胆尝试发现,这一钓鱼网址在微信上并不管用。 △ 网址一模一样是吧?然而假网址“www.аррӏе.com” 在微信上不会显示蓝色链接 不过,大家可以放心,IE、Microsoft Edge、Safari、Brave 与 Vivaldi 浏览器上面并不存在这个漏洞。 Google 即将推出补丁,Mozilla 还在路上 据悉,研究人员已于今年 1 月向受影响浏览器厂商(包括 Google 与 Mozilla )报告此问题。目前,Mozilla 仍在讨论解决方案,而 Google 已在 Chrome Canary 59 中修复该漏洞并将于本月末伴随 Chrome Stable 58 发布提供该漏洞的永久性修复补丁。 对此,安全专家建议用户在 Web 浏览器中禁用 Punycode 支持,并对网络钓鱼域名加以识别的做法以暂时缓解此类攻击造成的影响。 Firefox 用户缓解措施(不适用于 Chrome 用户) Firefox 用户可按照以下步骤手动申请临时缓解措施: 1. 在地址栏中输入 about:config,然后按Enter键。 2. 在搜索栏中输入 Punycode; 3. 浏览器设置将显示参数 IDN_show_punycode,通过双击或右键单击选择 Toggle 的方式将值从 false 改为 true。 然而,Chrome 或 Opera 不提供手动禁用 Punycode 网址转换的类似设置,因此 Chrome 用户只能再等几周获取官方发布的浏览器最新版本。 知道创宇 404 安全专家表示,倘若攻击者利用这一漏洞结合钓鱼邮件发至重要企事业单位,很有可能导致重要信息外泄。对此,专家们建议广大网民访问重要网站时选择手动输入网址,不要轻易访问未知网站或电子邮件中提及的任何链接,以防中招。 原作者:Mohit Kumar,译者:青楚,译审:游弋、狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

《速8》剧情成真:博世加密狗漏洞允许远程操纵汽车引擎

据外媒 16 日报道,以色列汽车网络安全公司 Argus 的研究人员发现,博世(Bosch)公司推出的 Drivelog Connector 电子狗与手机 APP 存在安全漏洞,甚至允许黑客远程关闭汽车引擎。      安全人员在模拟驾驶员通过蓝牙连接汽车时发现了这个漏洞。今年  2 月,Argus 就漏洞调查结果进行通报,博世安全响应团队( APIRT )也已联系 Argus 开始解决此类问题。 此次发现的安全漏洞主要有: 1、Drivelog Connector 加密狗与 Drivelog Connect 智能手机 APP 之间身份验证过程存在漏洞,致使 PIN 信息泄露。 2、Drivelog Connector 加密狗中的消息过滤器存在安全漏洞。 APP 和加密狗进行身份验证过程中存在的安全漏洞允许攻击者连接目标设备,研究人员在分析认证过程中发现,攻击者可暴力破解获得 PIN 信息,一旦设备之间建立连接,攻击者即可将恶意代码发送至 CAN 总线甚至不被驾驶员察觉。对黑客而言唯一的挑战是需要在目标车辆的蓝牙范围内进行操作。安全人员强调,同样的攻击可能对(使用这一产品的)绝大多数目标都凑效。 此外,Drivelog Connector 加密狗中的消息过滤器也存在安全漏洞,攻击者可以利用过滤器的 OEM 特定消息对车辆产生物理作用。 博世安全专家表示,目前已采取措施应对这些安全威胁。为进一步提高认证过程的安全性,官方也会尽快发布 APP 与加密狗固件的安全更新。 原作者: Pierluigi Paganini,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Riddle 漏洞影响 MySQL 客户端软件,MiTM 攻击可致登陆凭证被窃

据外媒 15 日报道,安全专家于 2 月在 Oracle 数据库管理系统( DBMS )MySQL 中发现一个被命名为 Riddle 的编码漏洞,允许攻击者利用 MiTM 攻击窃取用户名与密码。目前,该漏洞仍影响 Oracle MySQL 客户端软件。 MiTM 攻击(Man-in-the-MiddleAttack)是一种“ 间接 ”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“ 中间人 ”。(百度百科) 编号为CVE-2017-3305 的 Riddle 是 Oracle MySQL 5.5 – 5.6 版本客户端中的关键安全漏洞,攻击者可在用户登陆凭证发送至服务器时进行捕获。安全专家表示,MySQL 5.5 – 5.6 客户端目前尚无更新程序可修复这一漏洞,但 5.7 及更高版本或 MariaDB 系统不受漏洞影响。 安全研究员 PaliRohár 表示,他们曾试图利用影响 MySQL 数据库 Backronym 漏洞的修补方法修复 Riddle,但结果以失败告终。Backronym 漏洞允许攻击者执行 MiTM 攻击窃取密码,即使流量已被加密。 PaliRohár 补充解释, MySQL 5.5.49 – 5.6.30 稳定版的安全更新,主要包括验证完成后添加安全参数的验证。因为验证完成后,MiTM 攻击与 SSL 降级攻击可使攻击者窃取登录数据进行身份验证、并登录 MySQL 服务器。可笑的是,当 MySQL 服务器拒绝验证用户时,客户端并不报告任何与 SSL 问题相关的错误,而是报告服务器发送未加密的错误信息。此外,当行 MiTM 攻击处于活跃状态时,错误信息可由攻击者控制。 对此,安全专家建议用户尽快将客户端软件更新至 MySQL 5.7 或 MariaDB 版本,以避免可能遭遇的安全问题。 原作者: Pierluigi Paganini,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

时隔四年思科终于披露 Linksys 路由器远程访问漏洞细节

2013 年 1 月,DefenseCode 的安全研究人员发现,Cisco Linksys(现属于 Belkin)的路由器默认安装下存在一个远程 root 访问漏洞。漏洞后来发现实际上存在于 Broadcom 的 UPnP 实现中,这一实现被路由器广泛使用,也就是说漏洞不只是存在于思科的产品中,其它路由器厂商也受到影响,其中包括华硕、D-Link、 Zyxel、US Robotics、TP-Link、Netgear 等。受影响的设备数以百万计,研究人员因此没有公开他们的发现。 直到四年后的今天,他们正式披露了这一影响广泛的漏洞。研究人员称,思科已经修复了漏洞,但他们不清楚其它路由器厂商有没有修复。鉴于大多数路由器用户并不更新固件,因此绝大多数路由器仍然容易被利用。 稿源:solidot奇客,封面源自网络  

Microsoft Word 零日漏洞已被用于传播间谍软件 FinSpy

FireEye 安全研究人员发现,编号为 CVE-2017-0199 的 Microsoft Word 零日漏洞与乌克兰冲突中的网络间谍活动存在某种联系。 据悉,攻击者将特制的 Microsoft Word 文档伪装成俄罗斯军事训练手册,受害者一旦打开文档就会传播由 Gamma Group 开发的恶意监控软件 FinSpy 。按规定,FinSpy 仅面向政府与执法机构出售,但隐私倡导者推测该软件也可能被售与专制政权。 FireEye 公开表示,CVE-2017-0199 漏洞在经披露之前就已被充分用于经济与国家民族利益动机。调查表明,攻击者早在今年 1 月与 3 月就曾使用该漏洞传播恶意软件 FinSpy 与 LatentBot 。此外,研究人员发现这两款恶意软件的传播方式具有相似性,疑似从某个共享源获取攻击代码。目前,专家们仍在调查攻击的最终目标,而该诱饵文件似乎已在俄罗斯支持的乌克兰分裂地区“ 顿涅茨克人民共和国 ”发布。 早在 2017 年 1 月 25 日,CVE-2017-0199 漏洞就已通过伪装成《俄罗斯国防部法令》与“ 顿涅茨克人民共和国 ”境内发行手册的诱饵文档提供恶意软件 FinSpy 的有效载荷。虽然目前具体目标尚无法确定,FinSpy 已由 Gamma 集团出售给多个国家地区的客户。研究人员介绍,该恶意软件将与零日漏洞一并用于网络间谍攻击。 恶意文档 СПУТНИКРАЗВЕДЧИКА.doc(MD5:c10dabb05a38edd8a9a0ddda1c9af10e)是一份广泛传播的军事训练手册。值得注意的是,这个版本据称已在“ 顿涅茨克人民共和国 ”(由乌克兰东部反基辅反叛分子控制)发布。据悉,这本训练手册可以下载额外有效载荷以及冒充《俄罗斯森林管理计划审批法令》的另一个伪造文件FireEye 专家怀疑黑客可能已经使用恶意软件 FinSpy 入侵政府运营商等目标。此外,专家还发现暗市中流通的零日漏洞曾于今年 3 月引发同样的攻击流量。 FireEye 补充,早在 2017 年 3 月 4 日,恶意软件 LatentBot 就已通过 CVE-2017-0199 漏洞进行传播。迄今为止, FireEye iSIGHT Intelligence 仅在经济动机攻击活动中观察到具有凭据盗窃能力的恶意软件。此外,近期攻击活动中使用的通用诱饵与经济黑客使用的方法相一致。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Microsoft Word 曝高危零日漏洞推送恶意软件 Dridex 操控百万用户

据外媒报道,黑客正在利用 Microsoft Word 中尚未披露的零日漏洞发动攻击。安全人员表示,黑客可以利用该漏洞静默安装恶意软件 Dridex 操控百万用户设备。 相关报道称,该漏洞不同于多数与文档相关的漏洞。它尚未被修复,而且不依赖于宏命令。Office 通常会在用户启用宏命令文档时提醒用户存在风险。相反,该漏洞的触发方式为引诱用户打开一个伪装的 RTF 文档,该文档将从服务器下载恶意 HTML 应用程序,之后该程序将下载并执行恶意脚本,最终为用户计算机植入恶意软件 Dridex 。 恶意软件 Dridex 侵略性攻击,人们本该对附在电子邮件上的任何 Word 文档保持警惕,即使它由熟知的收件人发送。安全研究人员 McAfee 率先于上周五发现该漏洞并发表声明,由于 HTML 应用程序可以执行,允许黑客在目标计算机上绕过系统保护机制运行代码。另一家安全公司 FireEye 也在上周六公布了相似报告,并表示已经向微软报告了该漏洞。 FireEye 安全人员称,该问题与 Windows Object Linking and Embedding (OLE)  功能有关,OLED 功能则主要用于 Office 和 Windows 内建文档查看器 WordPad ,在过去几年该功能已经引发多个漏洞。值得一提的是,该漏洞影响所有的 Office 版本,包括最新版本 Office 2016 ,而攻击从今年 1 月就已经开始。 本文据 HackerNews、天极网 报道翻译、整理,封面来源于网络。

零售商 GameStop 潜在安全漏洞,客户信息陷入危险

如果您的信用卡信息存储在 GameStop 的网站上,可能需要谨慎,还需要注意您的卡上的未经授权的费用,并将其报告给您的银行。来自黑客的恢复信息可能包括信用卡号码! 对于 GameStop 或其客户来说,这不是一个美好的一天。 根据 Krebs on Security,视频游戏连锁店正在调查其网站上的潜在安全漏洞。GameStop 与传统的实体店一起在其网站上销售游戏,硬件和配件。客户的个人信息(包括信用卡信息)可能面临风险。据称这次黑客发生在 2016 年 9 月至 2017 年 2 月之间。 “ GameStop 最近收到了第三方的通知,认为它在 GameStop.com 网站上使用的卡的支付卡数据正在网站上发售,” GameStop 告诉 Krebs Security。 “ 那天,一家领先的安全公司正在调查这些索赔。 GameStop 已经并将继续不懈地处理本报告,并采取适当措施,消除可能发现的任何问题。“ 如果您的信用卡信息存储在 GameStop 的网站上,您可能需要谨慎。您还需要注意您的卡上的未经授权的费用,并将其报告给您的银行。来自黑客的恢复信息可能包括信用卡号码,姓名,到期日期和 CVV2 号码。 企业数字版权管理( EDRM )公司 Seclore 的首席执行官(“ 数字版权管理 ”)( EDRM )公司 Seclore 的首席执行官在电子邮件中告诉 GamesBeat。 “有一个原因是公司不允许将这个 CVV2 数据存储在自己的数据库中,所以黑客能够拦截这些安全代码的事实显着提高了事件的严重性。我对 GameStop 客户的建议是仔细检查您的购买历史,以进行欺诈活动,如果您怀疑它可能已被盗用,请取消您的卡。与大多数事情一样,特别是网络安全,一盎司的预防胜过一磅治疗。 对于 GameStop 来说,这是一个很大的 2017 年,该公司上个月宣布计划在全国关闭 100 多家门店,而随着越来越多的消费者以数字方式购买游戏,收入继续下滑。 稿源:爱玩网,封面源自网络

Apache Struts 2 漏洞可用于传播勒索软件 Cerber、攻击 Windows 系统

研究人员表示,网络犯罪分子可通过 Apache Struts 2 漏洞传播勒索软件 Cerber、攻击 Windows 系统。 3 月上旬,Apache Struts 2 被曝存在编号为 CVE-2017-5638 的远程代码执行漏洞。然而,就在安全专家发布该漏洞补丁与概念验证( PoC )没多久,攻击者便开始利用该漏洞传播恶意软件。多数情况下,攻击者通过后门和分布式拒绝服务( DDoS )机器人对 Unix 系统进行攻击,但近期专家们还发现一起针对 Windows 系统的攻击行动。 3 月 20 日至 26 日,F5 Networks 研究人员发现网络犯罪分子利用该漏洞执行 shell 命令,运行 Windows 附带的 BITSAdmin 与其他命令行工具传播勒索软件 Cerber、针对 Windows 服务器展开攻击。SANS 技术研究所的专家也在此期间对该起攻击事件进行了报道。 据悉,该勒索软件针对系统中的重要文件进行加密处理,迫使受害者必须通过缴纳赎金才能获得用于恢复文件的“特制解密软件”。经 F5 Networks 报道,在多次攻击行动中,受害者均被要求发送赎金至同一个比特币地址,该地址中的交易额高达 84 比特币(当前价值近 10 万美元)。 研究人员表示,Apache Struts 2 漏洞为攻击者提供了一个丰富的目标环境,可在扩展业务的同时感染数千台新服务器。将勒索目标设为服务器而非个人的做法更加有利可图,由于这些服务器通常属于资金相对充足、基础设施较为完善的组织机构,相应存储数据对业务发展而言可能至关重要。目前,Apache Struts 2 漏洞已感染大量产品,其中包括思科与 VMware 等品牌。 独立安全研究员 Corben Douglas 于本周三发布报告称,他在漏洞发布 4、5 天后对 AT&T 系统进行测试,结果表明系统易受攻击。此外,他还尝试在 AT&T 服务器上执行命令,此举可使整个公司受其掌控。 原作者:Eduard Kovacs , 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Splunk 修复安全漏洞:诱导用户访问恶意网站,泄露个人信息

据外媒 3 日报道,Splunk 已修复 JavaScript 代码中存在的安全漏洞,该漏洞被编号为 CVE-2017-5607 ,允许攻击者诱导已完成身份验证的用户访问恶意网页、泄露个人信息。 Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据 。(百度百科) 无论用户是否启用远程访问功能,该漏洞都会泄漏用户的登录名称,并允许攻击者使用网络钓鱼攻击方式定位用户位置、窃取用户凭据。 调查表明,该漏洞源自 Splunk 于 Object 原型在 Java 中的使用方式。专家发布 Poc 概念验证: <script> Object.defineProperty(Object.prototype,“$ C”,{set:function(val){ // prompt(“Splunk Timed out:\ nPlease Login to Splunk \ nUsername: ”+ val.USERNAME,“Password” ) for(var i in val){ alert(“”+ i +“”+ val [i]); } } }); </ script> 受影响的 Splunk Enterprise 版本为: 6.5.x 当中 6.5.3 之前的各类版本; 6.4.x 当中 6.4.6 之前的各类版本; 6.3.x 当中 6.3.10 之前的各类版本; 6.2.x 当中 6.2.13.1 之前各类版本; 6.1.x 当中 6.1.13 之前的各类版本; 6.0.x 当中 6.0.14 之前的各类版本; 5.0.x 当中 5.0.18 之前的各类版本; 以及 Splunk Light  6.5.2 之前的各类版本。 目前,该公司已针对出现漏洞的全部版本发布修复补丁。 原作者:Pierluigi Paganini, 译者:青楚      本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接