分类: 漏洞事件

Jenkins 服务器漏洞可能泄露敏感信息

Jenkins发布了一篇关于jettyweb服务器中一个严重漏洞的公告,该漏洞可能导致内存损坏,并导致机密信息泄露。该漏洞的编号为CVE-2019-17638,CVSS等级为9.4,影响范围为Eclipse Jetty版本9.4.27.v20200227至9.4.29.v20200521。 “该漏洞允许未经身份验证的攻击者获取HTTP响应标头,其中可能包含针对其他用户的敏感数据。” 这个影响Jetty和Jenkins核心的漏洞似乎是在Jetty版本9.4.27中引入的,该版本添加了一个机制来处理大型HTTP响应头并防止缓冲区溢出。 Jetty项目负责人GregWilkins说:“问题是在缓冲区溢出的情况下,我们释放了头缓冲区,但没有使字段为空。” 为解决此问题,Jetty引发异常以产生HTTP 431错误,该错误导致HTTP响应标头两次释放到缓冲池中,进而导致内存损坏和信息泄露。 因此,由于双重释放,两个线程可以同时从池中获取相同的缓冲区,并且可能允许一个请求访问由另一个线程写入的响应,该响应可能包括会话标识符、身份验证凭据和其他敏感信息。 换句话说,“当thread1要使用ByteBuffer写入response1数据时,thread2用response2数据填充ByteBuffer。然后,Thread1继续写入现在包含response2数据的缓冲区。这导致client1发出了request1并期望响应,看到response2可能包含属于client2的敏感数据。” 在一种情况下,内存损坏使得客户端能够在会话之间移动,从而可以进行跨帐户访问,因为来自一个用户响应的身份验证cookie被发送到另一用户,从而允许用户A跳入用户B的会话。 披露安全隐患后,上个月发布的Jetty 9.4.30.v20200611解决了该漏洞。Jenkins在昨天发布的Jenkins 2.243和Jenkins LTS 2.235.5中修复了其实用程序中的缺陷。 建议Jenkins用户将他们的软件更新到最新版本,以缓解该漏洞的危害。     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软修复了 2018 年起就存在的 0day 级别 Windows 文件签名漏洞

作为8月11日补丁周二的一部分,一个0day级别的漏洞被修复,它影响到Windows 7、Windows 8.1、Windows 10和几个Windows Server版本,微软还承认已经留意到利用此漏洞发生的攻击已经出现。这是操作系统中的一个欺骗漏洞,详情记录在CVE-2020-1464中,后果是黑客最终可以通过成功利用它来加载不当签名的文件。 “存在一个欺骗漏洞可以令Windows错误地验证文件签名。成功利用该漏洞的攻击者可以绕过安全功能,加载不正当签名的文件。在攻击场景中,攻击者可以绕过旨在防止加载不当签名文件的安全功能。”微软表示,看起来这个缺陷从2018年起就存在。 KrebsOnSercurity透露,该欺骗漏洞最早是由VirusTotal的经理Bernardo Quintero向微软报告的,公司随后向他证实了这一发现。但是,”微软已经决定不会在当前版本的Windows中修复这个问题,并同意我们能够在博客上公开报道这个案例和我们的发现。”在引用源强调的一篇博客文章中如此描述。 安全研究员、KZen Networks的创始人Tal Be’ery也指出,有证据表明该缺陷在2018年夏天就被发现了,不知为何微软当时就决定不打补丁。 微软则回避了关于为什么要等到现在才打补丁的问题。但更糟糕的是,微软在2018年不发布修复程序,等到2020年8月才解决操作系统缺陷,这意味着本身就暴露在攻击之下的Windows 7设备不再获得补丁,因为其非付费性质的支持早在2020年1月就结束了。     (稿源:cnBeta,封面源自网络。)

亚马逊 Alexa 现漏洞:可能会曝光用户个人信息及语音历史

据外媒neowin报道,安全研究人员在亚马逊的Alexa语音平台上发现了一个漏洞。Check Point Research表示,当漏洞被利用时,攻击者可能会获得用户的个人信息,这些信息包括用户的亚马逊账号信息以及语音历史。 研究人员在对Alexa智能手机应用进行测试时发现了这个漏洞。他们使用一个脚本绕过了保护应用流量的机制,该机制则允许他们以明文查看该应用。他们还发现,该应用发出的几个请求存在策略配置错误情况,这可能会使其绕过该策略从而从恶意方控制的域发送请求。 在现实世界中,坏人可能会说服不知情的用户点击一个连接到Amazon的恶意链接,该链接实际上具有代码注入功能。一旦被点击,攻击者就能获得用户在Alexa上安装的应用和功能列表。另外,他们还可以远程为受害者安装和启用新技能。更严重的攻击者还可以从用户的Alexa账号中获取他们的语音历史以及个人信息。 Check Point的产品漏洞研究负责人Oded Vanunu在一份新闻稿中说道:“智能扬声器和虚拟助手如此普遍,以至于人们很容易忽视它们所拥有的个人数据以及它们在控制我们家中其他智能设备方面所起的作用。但黑客将其视为进入人们生活的入口,让他们有机会在所有者不知情的情况下访问数据、窃听对话或进行其他恶意行为。” Vanunu补充称,该研究公司在6月份就向亚马逊强调过这一缺陷,后者也做出了修复回应。“我们开展这项研究是为了强调保护这些设备对维护用户隐私是怎样得重要。谢天谢地,亚马逊对我们的泄露做出了迅速反应,他们关闭了某些亚马逊/Alexa子域名上的这些漏洞。”     (封面与稿件来源:cnBeta)

Smart Lock 漏洞可以使黑客完全访问 Wi-Fi 网络

如果你使用了智能门锁,并且使用的是August smart lock Pro + Connect的话,请注意,该门锁中未打补丁的安全漏洞意味着黑客可以完全访问你的Wi-Fi网络。 首先,August smart lock Pro + Connect门锁允许用户控制房屋的大门或其他地方,房主只需轻按即可解锁/锁定门,还能授予客人访问权限,监督其他人进入或离开房屋。 由于缺乏必要的硬件,该设备无法直接连接到互联网,因此,当用户在一定范围内时,可以通过蓝牙低能耗(BLE)控制锁定。而为了满足远程管理的需求,August应用程序形成了一个+ Connect Wi-Fi网桥,与互联网建立连接,再由控制智能锁的用户来回传递命令。 然而,在这种情况下,设备之间的命令用传输层安全(TLS)加密,不能以任何方式修改或利用。除此之外,只有所有者在其帐户中注册了锁,才能配置与无线网络相连的August连接。而用户通过两步验证获得对帐户的访问权限,因此所有者具有完全权限,可以授予访客全部或有限访问权限,接收即时通知并检查状态。 当然,为了实现这些功能,August Smart Lock Pro + Connect会连接到用户的Wi-Fi网络。在没有可用的键盘/输入设备的情况下,August使用一种通用技术来确保连接。该设备进入设置模式,作为接入点启用与智能手机的链接。随后,应用程序会将Wi-Fi登录凭据传递给智能锁,但这个通信是开放的(未加密),因此容易受到攻击。值得注意的是,虽然设备的固件会加密登录凭据,但使用的是ROT13,这是一种简单的密码,很容易被附近的黑客破解。 最后,不得不提一下漏洞从发现到披露的过程: 2019年12月9日:与受影响的供应商进行初步联系,交换了PGP密钥 2019年12月10日:供应商提前收到报告的副本 2019年12月18日:信息再次发送给受影响的供应商 2019年12月18日:漏洞已确认 2019年12月18日:CVE-2019-17098 2020年5月11日:供应商要求在2020年6月上旬安排公开信息 2020年1月16日:Bitdefender准备更新 2020年7月2日:Bitdefender准备另一次更新 2020年8月6日:Bitdefender没有收到供应商的回音,公开漏洞。 将近8个月后,这个漏洞依然存在。     (稿件与封面来源:FreeBuf)

微软 2020 年 8 月周二补丁修复 120 个漏洞和 2 个零日漏洞

据外媒报道,微软今日开始推出August 2020 Patch Tuesday(2020年8月周二)安全更新补丁。从Edge到Windows再到SQL Server、.NET Framework,这家公司为13款产品修复了120个漏洞。在本月修复的120个漏洞中,有17个漏洞被评为“严重”级别,还有两个零日漏洞–不过在微软提供今日补丁之前,黑客就已经利用了这些漏洞。 零日漏洞# 1 本月修复的两个零日漏洞中的第一个是Windows操作系统中的一个漏洞。据微软披露,攻击者可以利用被追踪到的CVE-2020-1464漏洞让Windows让不正确的文件签名生效。 这家操作系统制造商指出,攻击者可以利用这个漏洞绕过安全特性,加载不正确签名的文件。 就像所有微软的安全建议一样,关于漏洞和真实攻击的技术细节还没有公开。微软安全团队使用这种方法来防止其他黑客推断漏洞是如何以及在哪里存在的并延长其他漏洞出现的时间。 零日漏洞# 2 至于第二个零日漏洞–CVE-2020-1380出现在IE附带的脚本引擎中。微软表示,它收到了来自杀毒软件制造商卡巴斯基的报告,黑客发现IE脚本引擎中的远程代码执行(RCE)漏洞并在现实世界中滥用它。 虽然这个漏洞存在于IE脚本引擎中,但微软其他本地应用也受到了影响,比如该公司的Office套件。这是因为Office应用使用IE脚本引擎在Office文档中嵌入和呈现web页面,脚本引擎在这一特性中扮演了主要角色。 这意味着黑客可以通过引诱恶意网站上的用户或发送陷阱式办公文件来对漏洞加以利用。     (稿件与封面来源:cnBeta)

微软修复不力 谷歌 Project Zero 再次披露 Windows 中的一个严重漏洞

谷歌旗下的 Project Zero 安全团队,以查找自家和其它公司开发的软件中的漏洞而被人们所熟知。理论上,在 90 天的宽限期内,接到通报的厂商有相对充裕的时间来完成修复。然而在现实生活中,偶尔也会有一些例外情况。比如近日,Project Zero 团队就因为微软修复不力,而选择在 90 天后公开披露 Windows 中的一个严重漏洞。 (来自:Google Project Zero) 过去几年,Project Zero 团队已经曝光过影响 Windows 10 S、macOS 内核、iOS 等平台的严重漏洞。 然而在昨日的“星期二补丁”中,研究人员声称微软未能提供一个完整的修复程序,于是决定公开一个影响各版本 Windows 的“中等”严重性漏洞。 据悉,Project Zero 于 2020 年 5 月 5 日首次将一个身份验证漏洞汇报给了微软 —— 即使应用程序不具备此功能,也可通过用户凭据来绕过网络身份验证。 在对枯燥的技术术语进行抽丝剥茧后,可知问题主要出在旧版 Windows 应用容器可通过单点登录、对用户授予企业身份验证的访问权限(这本该是个受限的敏感功能)。 虽然具有此类缺陷的应用程序不会通过 Windows Store 的审核,但许多企业仍在使用基于侧载的部署方案,因而该漏洞仍需要 Windows 用户提高警惕。 Project Zero 安全研究员 James Forshaw 指出:当应用程序向网络代理提起身份验证时,UWP 网络会错误地将之视作一个例外。 这意味着,只要为 InitializeSecurityContext 指定了有效的目标名称,AppContainer 便可执行网络身份验证,而无论网络地址是否已经代理注册。 结果就是,只要你的应用程序具有不受实际限制的网络访问功能,用户便可指定任意目标名称,对面向网络的资源进行身份验证。 同样的,由于你可指定任意目标名称、并且正在执行实际的身份验证,那注入 SPN 检查和 SMB 签名之类的服务器防护手段都将变得毫无意义。 从理论上来讲,由于防火墙 API 中存在后门,本地攻击者可借助经典版 Edge 浏览器访问本地主机服务、然后找到需要转义的系统服务,从而达到漏洞利用的目的。 更糟糕的是,这只是该漏洞缺陷的一部分。因为即便代理没有正确地处理网络地址,它仍可被绕过。 因其调用了 DsCrackSpn2,将服务类 / 实例:端口 / 服务名形式的网络目标名称划分成了各个组件。 Project Zero 团队甚至附上了概念验证(PoC)的代码,以展示应用程序是如何绕过企业身份验证、以获得更高的特权的。 PoC 尝试列出了 Windows Server 消息块(SMB)的共享,即使操作系统不允许此类访问,本地共享上仍会将它列出。 遗憾的是,尽管 Project Zero 团队为微软提供了标准的 90 天的缓冲、并于 7 月 31 日再次延展了宽限期,以便该公司可在 8 月 Patch Tuesday 推出该修复程序,但微软最终还是让我们感到失望。 该公司确实在昨日发布了 CVE-2020-1509 的修复程序,并对 James Forshaw 的发现表示了感谢,但 Project Zero 团队声称该公司并未彻底修复该缺陷,因其并未纠正 DsDrackSpn2 目标名称解析漏洞。 最终 Project Zero 决定在今日公布这个复杂的漏洞详情,即便普通的“脚本小子”无法轻易利用,但特权提升(即使是本地特权提升)也是相当危险的。 更具微软的安全公告,该问题影响多个 Windows 操作系统版本,包括 Windows Server 2012 / 2016 / 2019、Windows 8.1 / RT 8.1、以及直到 Version 2004 的 Windows 10 。     (稿源:cnBeta,封面源自网络。)

三星“查找我的手机”功能出现漏洞,用户可能完全丢失数据

网络安全服务提供商Char49的安全研究员Pedro Umbelino,在三星的“查找我的手机”功能中发现了多个漏洞,这些漏洞可能被集中利用在三星Galaxy Phone上执行各种恶意活动。 “查找我的手机”软件包中存在多个漏洞,最终可能导致智能手机用户完全丢失数据(恢复出厂设置),包括实时位置跟踪,电话和短信检索,电话锁定,电话解锁等。用户在设备的Web应用程序上执行的所有操作,都可能被恶意应用程序滥用。执行这些操作的代码路径涉及多个链接起来的漏洞。 “查找我的手机”功能可以支持三星硬件设备的所有者找到丢失的手机,还可以远程锁定设备,阻止他人访问三星支付并彻底格式化设备内容。不过,该功能中有四个漏洞,这些漏洞可以可能被安装在设备上的,仅需访问SD卡的恶意应用所利用。 通过访问设备的SD卡,应用程序可以触发攻击链中的第一个漏洞,然后创建一个文件,攻击者可使用该文件来拦截与后端服务器的通信。 成功利用此漏洞,黑客可以让恶意应用执行“查找我的手机”功能所支持的相同操作,包括强制恢复出厂设置,擦除数据,定位设备,访问电话和消息以及锁定和解锁电话等。此漏洞很容易被利用,从而对用户造成严重影响,并可能造成灾难性影响:通过电话锁定永久拒绝服务,通过出厂重置彻底丢失数据(包括SD卡),通过IMEI和位置跟踪以及呼叫和SMS日志访问。 专家解释说,漏洞利用链可在未安装补丁的三星Galaxy S7,S8和S9 +设备上运行。 有观点认为,“查找我的手机”应用程序不应该有公开可用且处于导出状态的任意组件。如果其他软件包调用了这些组件,则应使用适当的权限对其进行保护, 应该消除依赖公共场所文件存在的测试代码。 该漏洞于一年多前被发现,三星于2019年10月已经将其修复。     (稿源:FreeBuf,封面源自网络。)      

Chrome 浏览器 CSP 漏洞导致数十亿用户面临数据被盗风险

Threat Post 报道称:基于 Chromium 内核的浏览器被曝存在一个可被绕过的内容安全策略(简称 CSP)漏洞,导致数十亿用户易被攻击者窃取数据和执行恶意代码。PerimeterX 网络安全研究人员 Gal Weizman 指出,该漏洞(CVE-2020-6519)可在 Windows、Mac 和 Android 版 Chrome 浏览器,以及 Opera 和 Edge 中找到。 (来自:PerimeterX) 如果你仍在使用 2019 年 3 月发布的 Chrome 73、以及 2020 年 7 月前的 Chrome 83,还请尽快更新至已修复 CVE-2020-6519 漏洞的 Chrome 84 。 据悉,作为一项 Web 标准,内容安全策略(CSP)旨在阻止某些类型的攻击,比如跨站脚本(XSS)和数据注入(data-injection)。 CSP 允许 Web 管理员指定浏览器可执行脚本的有效源范围,以便兼容该标准的浏览器仅执行可信来源的脚本加载操作。 浏览器易受攻击,但网站并不这样。 Weizman 在周一发布的研究报告中指出:“CSP 是网站所有者用于执行数据安全策略、以防止在其网站上执行恶意影子代码的主要方法,因而当其绕过浏览器时,个人用户的数据就面临着风险”。 目前大多数网站都已事实 CSP 内容安全策略,包括大家熟知的 ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo 和 Zoom 等互联网巨头。 不过一些知名的站点得以幸免,包括 GitHub、谷歌 Play 商店、领英 LinkedIn、PayPal、Twitter、雅虎登录页面、以及 Yandex 。 用此漏洞,攻击者必须先通过暴力破解或其它方法来访问 Web 服务器,以便能够修改其 JavaScript 代码。 然后攻击者可以在 JavaScript 中添加 frame-src 或 child-src 指令,以允许注入代码并强制加载执行,从而绕过站点 CSP 内容安全策略的防护。 尽管该漏洞被 CvSS 认定为中等严重等级(6/10),但由于它会影响 CSP 的执行,因此具有了更广泛的意义。换言之,当设备不幸中招时,事故造成的损害将严重得多。 举个例子,若 CSP 措施得当,网站仍可限制对此类敏感信息的访问。但以类似的方式,恶意 Web 开发者可利用第三方脚本,向付款页面加注一些额外的功能。 更糟糕的是,这个漏洞已在 Chrome 浏览器中存在了一年以上,直到近日才得到彻底修复。因而 Weizman 警告称,该漏洞的全部影响尚不为人所知。 最后,为避免遭受此类攻击而导致个人身份信息(PII)等敏感数据泄露,还请大家立即将浏览器升级到最新版本。     (稿源:cnBeta,封面源自网络。)

高通证实骁龙 DSP 缺陷可令 40% 的智能手机暴露在黑客面前

高通公司已经证实在他们的智能手机芯片组中发现了一个巨大的缺陷,使手机完全暴露在黑客面前。该漏洞由Check Point安全公司发现,大量Android手机中的Snapdragon DSP的缺陷会让黑客窃取数据,安装难以被发现的隐藏间谍软件,甚至可以彻底将手机损坏而无法使用。 了解更多漏洞细节: https://www.defcon.org/html/defcon-safemode/dc-safemode-speakers.html#Makkaveev https://blog.checkpoint.com/2020/08/06/achilles-small-chip-big-peril/ Check Point在Pwn2Own上公开披露了这一缺陷,揭示了内置高通骁龙处理器手机中的DSP的安全性设定被轻易绕过,并在代码中发现了400处可利用的缺陷。 出于安全考虑,cDSP被授权给OEM厂商和有限的第三方软件供应商进行编程。运行在DSP上的代码由高通公司签署。安全机构成功演示了Android应用程序如何绕过高通公司的签名并在DSP上执行特权代码,以及这会导致哪些进一步的安全问题。 Hexagon SDK是官方为厂商准备DSP相关代码的方式,其SDK存在严重的bug,导致高通自有和厂商的代码存在上百个隐性漏洞。事实上,几乎所有基于高通的智能手机所嵌入的DSP可执行库都会因为Hexagon SDK的问题而受到攻击,由此生成和暴露的安全漏洞可被黑客利用。 该漏洞被称为DSP-gate,允许安装在易受攻击的手机(主要是Android设备)上的任何应用程序接管DSP,然后对设备进行自由控制。 高通已经对该问题进行了修补,但不幸的是,由于Android的碎片化特性,该修复方案不太可能到达大多数手机。 “虽然高通已经修复了这个问题,但遗憾的是,这并不是故事的结束。”Check Point网络研究主管Yaniv Balmas表示,”数以亿计的手机都暴露在这种安全风险之下。如果这种漏洞被发现并被恶意行为者利用,那么在很长一段时间内,将有数千万手机用户几乎没有办法保护自己。” 幸运的是,Check Point还没有公布DSP-gate的全部细节,这意味着在黑客开始在外部利用它之前可能还有一段让厂商逐步提供紧急修复的缓冲时间。 高通在一份声明中表示:”提供支持强大安全和隐私的技术是高通公司的首要任务。关于Check Point披露的高通计算DSP漏洞,我们努力验证该问题,并向OEM厂商提供适当的缓解措施。我们没有证据表明该漏洞目前正在被利用。我们鼓励终端用户在补丁可用时更新他们的设备,并只从受信任的位置(如Google Play Store)安装应用程序。”     (稿源:cnBeta,封面源自网络。)

TeamViewer 曝漏洞 计算机浏览特定网页即可被无密码入侵

TeamViewer官方发布消息说最近修复了一个漏洞,该漏洞可能使攻击者悄悄地建立与您计算机的连接并进一步利用该系统。漏洞编号: CVE-2020-13699,该漏洞影响TeamViewer版本:8,9,10,11,12,13,14,15。 国家信息安全漏洞库地址: http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1701 风险等级: 8.8 高危 典型的本地权限提升漏洞 攻击者只需要构造一个特定的连接隐藏在恶意网页里.安装了Teamviewer的电脑浏览到该网页即可触发漏洞. 上图为CVE-2020-13699 PoC演示,在网页里使用一段不可见的iframe代码会启动TeamViewer Windows桌面客户端并迫使其打开远程SMB共享,也就是说攻击者无需知道TeamViewer的密码,该漏洞将自动把受害机的系统会话权限自动通过身份验证并获得权限. Windows在打开SMB共享时将执行NTLM身份验证,并且可以转发该请求(使用诸如响应程序之类的工具)以执行代码(或捕获该请求以进行哈希破解)。 漏洞覆盖版本: teamviewer10 teamviewer8 teamviewerapi tvchat1 tvcontrol1 tvfiletransfer1 tvjoinv8 tvpresent1 tvsendfile1 tvsqcustomer1 tvsqsupport1 tvvideocall1 tvvpn1  。” Windows的TeamViewer用户应考虑升级到新的程序版本: 8.0.258861 9.0.28860 10.0.258873 11.0.258870 12.0.258869 13.2.36220 14.2.56676 14.7.48350 15.8.3 新版在这里下载: https://www.teamviewer.cn/cn/download/windows/ 所有15之前老版本都可以这里下载: https://www.teamviewer.cn/cn/download/previous-versions/     (稿源:cnBeta,封面源自网络。)