分类: 漏洞事件

研究员利用 Twitter 应用漏洞将 1700 万个电话号码跟用户账号配对

据外媒报道,一名安全研究员日前表示,他通过利用Twitter Android应用中的一个漏洞将1700万个电话号码跟Twitter用户的账号户匹配了起来。这位名叫Ibrahim Balic的研究人员发现可以通过Twitter的联系人上传功能上传生成的完整的电话号码列表。换言之,如果用户在Twitter上上传了自己的电话号码那么平台就会获取用户数据。 Balic指出,Twitter的联系人上传功能不接受连续格式的电话号码列表,这可能就是为了阻止上面的这种匹配。然而,Balic生成了20多亿个电话号码,一个接一个,然后随机分配这些号码并通过Android应用将它们上传到Twitter上,而基于web的上传功能中不存在这个漏洞。 Balic称,在两个多月的时间里,他匹配了来自以色列、土耳其、伊朗、希腊、亚美尼亚、法国和德国的用户记录,但在Twitter于12月20日对这一漏洞做出反应之后他停止了这种行为。尽管他没有提醒Twitter注意这一漏洞,但他将许多知名Twitter用户(包括政界人士和官员)的电话号码转至WhatsApp群组中以便直接警告用户。 对此,Twitter方面表示,他们正在努力确保不让这个漏洞再次遭到利用。“在得知这个漏洞后,我们暂停了那些非法获取个人信息的账号。保护Twitter用户的隐私和安全是我们的首要任务,我们仍致力于快速阻止垃圾邮件和来自Twitter API的滥用。” 据悉,Balic此前因在2013年发现影响苹果开发中心的安全漏洞而出名。   (稿源:cnBeta,封面源自网络。)

iOS 13.3 越狱有望:安全专家确认发现新 tfp0 漏洞

对于越狱社区来说,当有人发现能越狱新设备和iOS新版本的漏洞之时,往往会令破解者和开发者充满兴奋。由@08Tc3wBB分享,随后由安全研究人员@RazMashat验证,在苹果最新、最卓越的iOS 13.3固件更新中发现了tfp0漏洞,即“task for pid 0”(即内核任务端口)的简称,包括A13处理器在内的iPhone均受影响。 外媒报道称,这个漏洞同样存在于A12(X)设备中,通过uncOver可以对最高iOS 12.4.1;通过Chimera可以对12.4进行越狱。目前唯一适用于iOS 13的越狱漏洞是checkra1n,并且仅适用于iPhone X及以下的A7-A11设备。 相关演示视频链接:https://www.bilibili.com/video/av80177899?zw 目前@08Tc3wBB并未披露关于该漏洞的详细细节。值得关注的是,确认漏洞有效的安全研究人员@RazMashat在后续推文中表示,这个漏洞已经得到了包括Chronic和Pwn20wnd在内的值得信任的黑客的关注。此外@RazMashat还表示,@08Tc3wBB尚未决定是否要公开发布tfp0错误,还是先向苹果披露以获取金钱奖励。   (稿源:cnBeta,封面源自网络。)

Drupal开发团队发布新版本,解决多个漏洞

Drupal开发人员发布了Drupal的 7.69、8.7.11和8.8.1版本,这些版本解决了多个漏洞,其中包括一个严重的文件处理问题。 Archive_Tar第三方库相关漏洞是本次修复中遇到的最难处理的。Archive_Tar是处理PHP中的TAR存档文件的工具。此漏洞影响到了Drupal 7x,8.7.x和8.8.x版本。Drupal的Jasper Mattsson报告了此漏洞。 Drupal针对漏洞SA-CORE-2019-012发布安全公告称:“ Drupal项目使用第三方库Archive_Tar,该库已发布的安全更新将会影响Drupal配置。如果允许上传.tar, .tar.gz, .bz2 or .tlz 文件并对其进行处理,则可能触发多个漏洞 。Drupal的最新版本将Archive_Tar升级为1.4.9,以降低文件处理漏洞严重性。” 专家指出某些配置容易受到攻击,允许上传TAR,TAR.GZ,BZ2或TLZ文件的网站有一定安全风险。 开发团队发布了1.4.9版本以解决此问题。 Drupal开发人员解决的其他漏洞是: Drupal core –中等严重–绕过权限– SA-CORE-2019-011 –该漏洞与Media Library有关,在某些情况下无法控制媒体应用使用权限; Drupal core –中等严重–多个漏洞– SA-CORE-2019-010; Drupal core –中等严重–拒绝服务– SA-CORE-2019-009 –DoS漏洞。 等级为“严重”的问题影响版本8.7.x和8.8.x。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

施耐德修复了 Modicon 和 EcoStruxure 产品中的 DoS 漏洞

施耐德电气公司近期解决了Modicon M580,M340,Quantum和Premium控制器中的DoS漏洞,并表示这三个缺陷都是由于检查不当造成的。 这三个漏洞是: 第一个是CVE-2019-6857,CVSS v3.0 的基本评分为 7.5,具有高危险性。使用Modbus TCP读取特定的存储器块时,该漏洞可能导致控制器遭遇DoS攻击。 CVE-2019-6856,CVSS v3.0 评分同样为 7.5,具有高危险性。在使用Modbus TCP编写特定的物理内存块时可能会导致DoS 攻击。 第三个漏洞编号为CVE-2018-7794,CVSS v3.0 评分为 5.9,为中度危险。当使用Modbus TCP读取的数据的索引无效时,该漏洞可能导致DoS攻击。 来自Nozomi Networks的Mengmeng Young和Gideon Guo(CVE-2019-6857),Chansim Deng(CVE-2019-6856)和Younes Dragoni(CVE-2018-7794)已报告了漏洞。 施耐德还告知其用户,EcoStruxure下有三个产品( Power SCADA Operation 的电源监控软件等)出现了多个漏洞。 根据Applied Risk的报告,漏洞源于一个严重堆栈溢出漏洞,黑客可以利用该漏洞触发DoS。 报告还指出:“Schneider ClearSCADA出现了一个文件权限引发的漏洞。黑客由此可以修改系统配置和数据文件。” 施耐德电气还发现了EcoStruxure Control Expert编程软件中的一个中级漏洞(该软件为Modicon可编程自动化控制器提供服务),该漏洞可能使黑客绕过软件与控制器之间的身份验证过程。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Google 修复了 Android 中的 DoS 漏洞(CVE-2019-2232)

Android系统发布了2019年12月的安全更新,此次解决的漏洞中包含一个可能导致DoS攻击的严重漏洞(CVE-2019-2232)。 12月1日的补丁解决了Framework中的六个漏洞,两个媒体框架漏洞,系统中的七个以及Google Play系统更新中的两个漏洞。 CVE-2019-2232 DoS漏洞将会影响Framework组件,以及Android版本8.0、8.1、9和10。 Google发布安全公告称:“黑客可能利用漏洞伪造特殊消息,进而导致永久拒绝服务。”。 Google还解决了Framework中的5个漏洞,三个特权提升漏洞(CVE-2019-9464,CVE-2019-2217,CVE-2019-2218),一个高风险信息泄露(CVE-2019-2220 ),以及一个中等级别的特权提升错误 (CVE-2019-2221)。 系统中修补的漏洞严重性较高,例如远程执行代码,特权提升和五个信息泄露漏洞。 12月5日的补丁各自解决了Framework和System中的一个高危信息泄露漏洞。它还修复了内核中的三个高风险特权提升漏洞以及高通组件中的十二个高危漏洞。 除此之外,Google还解决了Pixel设备上的一系列安全漏洞。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

有史以来复制最多的 StackOverflow 代码段存在缺陷

对于开发者而言,Stack Overflow 和 GitHub 是最为熟悉不过的两大平台,这些平台充斥着大量开源项目信息和解决各类问题的代码片段。而就在近日,Palantir的 Java 开发人员,也是 StackQflow(与编程相关的问题的问答网站)中排名最高的参与者之一  Andreas Lundblad 却承认,一段自己十年前写的代码,也是 Stack Overflow 上复制次数最多、传播范围最广的代码段均包含一个错误。 据悉,2018年发表的一篇学术论文[PDF]确定了在网站上发布的代码片段 Lundblad 是从 StackOverflow 提取的复制最多的 Java 代码,然后在开源项目中重复使用。 该代码段以人类可读格式(例如 123.5 MB)打印了字节数(123,456,789 字节)。学者发现,此代码已被复制并嵌入到 6,000 多个 GitHub Java 项目中,比其他任何 StackOverflow Java 代码段都多。 而在上周发布的博客文章中,Lundblad 则承认,该代码存在缺陷,并且错误地将字节数转换为人类可读的格式。他表示,在学习了学术论文及其结果之后,已重新审视了代码。同时再次查看了该代码,并在其博客上发布了更正的版本。 STACKOVERFLOW 代码有时包含安全性错误 据了解,尽管 Lundblad 的代码段是存在一个琐碎的转换错误,仅导致文件大小估计稍有不准确,但情况或许可能会更糟。例如,该代码可能包含安全漏洞。如果这样做的话,那么修复所有易受攻击的应用程序将花费数月甚至数年,使用户容易受到攻击。 事实上,即使普遍认为从 StackOverflow 复制粘贴代码是一个坏主意,但开发人员还是一直这样做。 2018 年的研究论文显示了这种做法在 Java 生态系统中的普及程度,并揭示了复制流行的 StackOverflow 答案的绝大多数开发人员甚至都没有理会其来源。 从 StackOverflow 复制代码但没有署名的软件开发人员,实际上对其他编码人员隐藏了他们已经在项目内部引入未经审查的代码的情况。 这听起来像是一个过于警惕的声明,但在 2019 年 10 月发表的另一项学术研究项目[PDF]显示,StackOverflow 代码段确实包含漏洞。该研究论文在过去十年中在 StackOverflow 上发布的 69 种最流行的 C ++ 代码片段中发现了主要的安全漏洞。 研究人员透露,他们在总共 2859 个 GitHub 项目中发现了这 69 个易受攻击的代码片段,显示了一个错误的 StackOverflow 答案如何对整个开源应用生态系统造成破坏。     (稿源:cnBeta,封面源自网络。)  

卡巴斯基安全软件被发现漏洞 可为黑客提供签名代码执行

安全研究公司SafeBreach在卡巴斯基安全连接软件中发现的一个安全问题,它本身被捆绑到一系列其他卡巴斯基安全产品中,允许恶意攻击者在更复杂的攻击情况下获得签名代码执行,甚至规避防御。 编号为CVE-2019-15689的安全公告详细介绍了该漏洞,该漏洞使黑客能够通过作为NT权限/系统启动的签名版本运行未签名的可执行文件,技术上为在受攻击设备上进一步恶意活动打开了大门。 SafeBreak解释说,卡巴斯基安全连接捆绑到卡巴斯基杀毒软件、卡巴斯基互联网安全软件、卡巴斯基Total Security软件和其他软件中,使用的服务具有系统权限,并且可执行文件由“ AO Kaspersly Lab”签名。如果攻击者找到了在此过程中执行代码的方法,则可以将其用作应用程序白名单绕过安全产品。 而且由于该服务是在引导时运行的,这意味着潜在的攻击者甚至可以在每次系统启动时获得持久性,来运行恶意有效负载。深入分析发现,卡巴斯基的服务试图加载一系列dll,其中一些dll丢失了,而且由于安全软件不使用签名验证,很容易将未签名的可执行文件伪装成已签名的可执行文件。此外,Kaspersky服务不使用安全DLL加载,这意味着它只使用DLL的文件名,而不是绝对路径。该错误已于2019年7月报告给卡巴斯基,SafeBreak于11月21日发布了CVE-2019-15689安全公告。   (稿源:cnBeta,封面源自网络。)

谷歌发布 2019 年 12 月的 Android 安全补丁

谷歌为其最新的 Android 10 移动操作系统系列发布了 2019 年 12 月的 Android 安全补丁,以解决一些最关键的安全漏洞。 由2019年12月1日和2019年12月5日安全补丁程序级别组成,2019年12月的Android安全补丁程序解决了Android组件,Android框架,媒体框架,Android系统,内核组件,以及高通的组件,包括封闭源代码的组件。 据悉,此更新中修复的最关键的安全问题会影响 Framework 组件,并可能允许远程攻击者永久拒绝服务。此外,其还修复了一个漏洞,该漏洞可能允许远程攻击者通过使用特制文件在特权进程的上下文中执行任意代码,并且该漏洞可能使具有特权访问权限的本地攻击者能够访问敏感数据。 与此同时,谷歌还发布了 2019 年 12 月的 Pixel Update 公告,以解决各种针对Pixel设备的安全漏洞和问题,以及 2019 年 12 月的 Android 安全公告中描述的安全漏洞。2019 年 12 月的 Pixel 更新公告包含针对内核组件和 Android 系统中发现的总共 8 个漏洞的修复程序。 目前,2019 年 12 月的 Android 安全公告和 2019 年 12 月的 Pixel 更新公告都将向所有受支持的 Pixel 设备推出,包括 Pixel 2,Pixel 2 XL,Pixel 3,Pixel 3 XL,Pixel 3a,Pixel 3a XL,Pixel 4 和 Pixel 4 XL。而在接下来的几周内,它还将可用于 Essential,Samsung,OnePlus 和更多制造商的其他 Android 设备。   (稿源:开源中国,封面源自网络。)

安全研究人员警告 .Gov 域名的注册审核不严 或导致信任危机

本月初,KerbsOnSecurity 收到了一位研究人员的电子邮件,声称其通过简单的手段,就轻松拿到了 .GOV 域名。若这一漏洞被利用,或导致 .Gov 域名出现信任危机。其表示,自己通过填写线上表格,从美国一个只有 .us 域名的小镇主页上抓取了部分抬头信息,并在申请材料中冒名为当地官员,就成功地骗取了审核者的信任。 这位要求匿名的消息人士称:其使用了虚假的 Google 语音号码和虚假的 Gmail 地址,但这一切只是出于思想实验的目的,资料中唯一真实的,就是政府官员的名字。 据悉,这封邮件是从 exeterri.gov 域名发送来的。该域名于 11 月 14 日注册,网站内容与其模仿的 .us 站点相同(罗德岛州埃克塞特的 Town.exeter.ri.us 网站,现已失效)。 消息人士补充道:其必须填写正式的授权表单,但基本上只需列出管理员、技术人员和计费人员等信息。 此外,它需要打印在“官方信笺”上,但你只需搜索一份市政府的公文模板,即可轻松为伪造。 然后通过传真或邮件发送,审核通过后,即可注册机构发来的创建链接。 从技术上讲,这位消息人士已涉嫌邮件欺诈。若其使用了美国境内的服务,还可能遭到相应的指控。但是对于藏在暗处的网络犯罪分子来说,这个漏洞显然求之不得。 为了堵上流程漏洞,爆料人希望能够引入更加严格的 ID 认证。尽管他所做的实验并不合法,但事实表明确实很容易得逞。 今天早些时候,KrebsOnSecurity 与真正的埃克塞特官员取得了联系。某不愿透露姓名的工作人员称,GSA 曾在 11 月 24 日向市长办公室打过电话。 然而这通电话是在其向联邦机构提出询问的四天之后,距离仿冒域名通过审批更是已过去 10 天左右。 尽管没有直接回应,但该机构还是写到:“GSA 正在与当局合作,且已实施其它预防欺诈的控制措施”。至于具体有哪些附加错误,其并未详细说明。 不过 KrebsOnSecurity 确实得到了国土安全部下属网络安全与基础设施安全局的实质性回应,称其正在努力为 .gov 域名提供保护。     (稿源 cnBeta ,封面源自网络。)

Apache Solr RCE 漏洞的 PoC 利用代码在线曝光

Apache Solr 这次遇到的漏洞比想象的要危险得多。 Apache Solr 是一个用Java编写的高度可靠,可扩展且容错的开源搜索引擎,可提供分布式索引,复制和负载平衡查询,自动故障转移和恢复,集中式配置等。 安全公告称,此问题最初被命名为“solr.in.sh 含有未注释行”,并告诉用户检查其  solr.in.sh 文件。后来由于远程执行代码的风险,他们升级了此漏洞并取得了CVE编号。 该漏洞影响 Apache Solr 在 Linux 系统上的8.1.1和8.2.0版本(不影响Windows),这些版本的 sol.in.sh 文件中的 ENABLE_REMOTE_JMX_OPTS 配置不安全。 发现该漏洞时,由于专家认为攻击者只能利用该漏洞访问Solr监视数据,所以 Apache Solr 团队没有意识到它的严重性。 10月30日,用户“ s00py ” 在GitHub上发布了漏洞利用代码,使得黑客可以远程执行代码。为了使用Apache Velocity 模板,漏洞利用代码使用了暴露的 8983 端口 ,并利用该模板来上传和运行恶意代码。 两天后,用户“ jas502n ”发布了第二个PoC代码  ,凭借此代码,黑客可以轻松利用该漏洞。 这两个PoC迫使Solr团队于11月15日更新安全公告,漏洞CVE为 CVE-2019-12409。   专家们目前还没有探测到在野利用攻击,不过他们认为这只是时间问题。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接