分类: 漏洞事件

苹果公司成功修复 iCloud Keychain 漏洞

据外媒 10 日报道,苹果公司近期修复了允许黑客利用 MitM(中间人)攻击、窃取 iCloud 用户私人信息(姓名、密码、信用卡数据与 Wi-Fi 网络信息)的 iCloud Keychain 漏洞。 iCloud Keychain 同步功能允许用户在所有 Apple 设备之间共享密码与其他私人数据。苹果公司根据每台设备独有的同步身份密钥为同步过程实现端到端加密。 用户私人信息通过 iCloud Key-Value Store(KVS)传输时,应用程序与 KVS 之间的任何连接均由  syncdefaultsd 服务 与其他 iCloud 系统服务评断。 据悉,今年 3 月,研究人员 Alex Radocea 在即时通信加密协议(OTR)中发现这一漏洞,它能允许攻击者利用受信设备传输 OTR 数据。研究人员指出,攻击者不仅可以通过 MitM 攻击在无需同步身份密钥的情况下绕过 OTR 签名验证流程,还可在同步过程中利用该漏洞伪造其他可信设备截获相关数据。 安全专家强调,如果用户账户未启用双因素验证,攻击者可直接使用受害者 iCloud 密码访问并篡改 iCloud KVS 数据条目。此外专家警示,iCloud KVS 条目的潜在篡改与 TLS 通信证书的缺失都将为攻击者打开设备系统的大门。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

思科修复 CIA 零日漏洞:曾允许黑客远程执行恶意代码

思科近期修复了一个通过 CIA 机密文件泄漏的 零日漏洞。漏洞编号为 CVE-2017-3881,允许攻击者向 318 个型号的思科网关发送命令远程执行恶意代码。 攻击代码是作为 Wikileaks  Vault7 系列 CIA 文件的一部分泄漏出去的。漏洞位于思科的 Cluster Management Protocol (CMP)中。CMP 使用 telnet 协议在网络中传递信号和通信,但它未能限制本地通信的 telnet 选项,不正确的处理畸形 CMP 特有的 telnet 选项。一位攻击者可以通过发送畸形 CMP 特有 telnet 选项,利用该漏洞与受影响的思科设备建立 telnet 会话,配置接受 telnet 连接。 稿源:Solidot奇客,封面源自网络

谷歌 Fuzz Bot 在开源项目中嗅探出超过千余 Bug

自 Google 宣布 OSS-Fuzz 之后的五个月内,这款工具在开源项目中嗅探出超过 1000 个 bug,其中包括 264 个潜在的安全漏洞。谷歌团队非常努力,每天都要处理 10 万亿的测试输入。其中,有 47 个项目早已整合了 Fuzz。Google 表示:“ OSS-Fuzz 已经在几个关键开源项目中找到了多个安全漏洞 ”。 其中,FreeType 2(10 个)、FFmpeg(17 个)、LibreOffice(33 个)、SQLite 3(8 个)、GnuTLS(10 个)、PCRE2(25 个)、gRPC(9 个)、Wireshark(7 个)。此外,OSS-Fuzz 还与另一个独立安全研究工具碰上了同一个 bug,它就是 CVE-2017-2801 。 据该公司所述,当某个项目集成 OSS-Fuzz 之后,后续它会自动抓取问题且几个小时后回溯至上游资源库,从而将用户受影响的可能性尽可能降低。Google 还称,OSS-Fuzz 已经报告超过 300 次超时和内存不足失败,其中有 3/4 已被修复。 稿源:据 cnBeta,封面源自网络

Google 安全专家在线公布 Windows 远程代码执行漏洞

据报道,Google Project Zero 研究员 Tavis Ormandy 和 Natalie Silvanovich 在线公布一个 “ 非常糟糕 ” 的 RCE 漏洞,但并未披露细节和风险:“ 我们可能发现了近期内最糟糕的 Windows 远程代码执行漏洞,攻击者们不需要处于同一局域网中就可静默安装,这简直是一个虫洞 ”。 目前,微软尚未就此事作出回应,但该公司至少有 90 天的时间窗口开发修复补丁。如果他们在未来 3 个月内未能成功修复,那两位研究人员将会把漏洞详情公布在互联网中,这是 Google Project Zero 项目的一贯政策。其实,这并非 Google 安全研究人员首次(及近期)在微软产品中发现的漏洞,此前 Google 也曾在“ 超期 ”后强行曝光其它漏洞详情,比如今年 2 月份时曝光的某个微软浏览器漏洞。 尽管微软在上一个 “ 补丁星期二 ” (5 月 2 日)中进行了修复,但还是对 Google 披露漏洞(公开披露漏洞详情)行为表示不满,指责该举措将致使成千上万的 Windows 用户处于风险之中。此外,至于微软能否在 5 月 10 日修复上周曝光的漏洞,目前仍有待观察。 稿源:cnBeta,封面源自网络

英特尔芯片漏洞比想象中更严重:控制计算机无需密码

英特尔芯片出现一个远程劫持漏洞,它潜伏了 7 年之久。本月 5 日,一名科技分析师刊文称,漏洞比想象的严重得多,黑客利用漏洞可以获得大量计算机的控制权,不需要输入密码。 英特尔主动管理技术(AMT)功能允许系统管理者通过远程连接执行多种繁重的任务,包括:改变启动计算机代码、接入鼠标键盘和显示器、加载并执行程序、通过远程方式启动设备等。 许多 vPro 处理器都支持 AMT 技术,如果想通过浏览器界面远程使用它必须输入密码,然而,英特尔的验证机制输入任何文本串(或者连文本都不要)都可以绕过。Tenable Network Security 刊发博客文章称,访问认证时系统会用加密哈希值(cryptographic hash)验证身份,然后才授权登录,不过这些哈希值可以是任何东西,甚至连文字串都不需要。Tenable 逆向工程主管卡罗斯·佩雷兹(Carlos Perez)指出,即使输入错误的哈希值也可以获得授权。 还有更糟糕的地方。一般来说,没有获得验证的访问无法登录 PC,因为 AMT 必须直接访问计算机的网络硬件。当 AMT 启用时,所有网络数据包会重新定向,传到英特尔管理引擎(Intel Management Engine),然后由管理引擎传到 AMT。这些数据包完全绕开了操作系统。 Embedi 是一家安全公司,英特尔认为它是首先发现漏洞的公司,Embedi 技术分析师也得出了相同的结论并以邮件形式将分析结果发给记者,未在网上公布。英特尔表示,预计 PC 制造商在本周就会发布补丁。新补丁会以英特尔固件的形式升级,也就是说每一块存在漏洞的芯片都要刷新固件。与此同时,英特尔鼓励客户下载并运行检查工具,诊断计算机是否存在漏洞。如果工具给出正面结果,说明系统暂时是安全的,安装补丁才能真正安全。富士通、惠普、联想等公司也针对特殊机型发出警告。 稿源:cnBeta 节选,封面源自网络

黑客利用 SS7 协议漏洞窃取德国 O2-Telefonica 公司银行账户资金

据外媒 4 日报道,德国 O2-Telefonica 公司向 SüddeutscheZeitung 机构证实,攻击者利用 SS7 协议漏洞绕过 SFA 认证机制网络劫持银行账户资金。 SS7( 7 号信令系统)是 20 世纪 70 年代末以来电信公司一直使用的一组协议,可使数据传输安全畅通、无泄露。而 SS7 协议漏洞则允许黑客通过重定向来电进行手机定位、发送短信至目标设备。 据悉,攻击者在利用 SS7 协议漏洞展开攻击时可绕过常见 Web 服务(例如 Facebook,WhatsApp )的用户身份验证流程。 2014 年 12 月,德国研究人员在 Chaos Communication Hacker Congress 上透露,多数移动通信运营商使用的协议均存在严重安全隐患。尽管电信公司对其安全保障投入巨资,但使用此类漏洞协议显然导致客户面临严重的隐私泄露与安全风险问题。 网络如何确定用户位置? 德国研究人员托比亚斯表示,网络能够根据基站信号较为准确地判断用户位置。尽管运营商管理信息的访问权限受限于网络技术操作,但通过全球 SS7 网络可发送任意语音通话与短消息至用户移动设备。 调查表明,黑客常在以往发生过的安全问题上大做文章,其中不乏 2014 年 4 月那起据称与俄罗斯黑客有关的 NKRZI 系统(乌克兰国家通信与信息化管理委员会)遭受入侵事件。专家注意到,许多乌克兰移动设备持有者已被源自俄罗斯的 SS7 数据包跟踪并窃取信息。 目前,安全专家正在紧密观察这起利用 SS7 协议漏洞窃取银行账户信息的前所未有的大规模黑客活动。经多方面来源证实,黑客在过去几个月内一直使用该种技术展开攻击活动。 据悉,黑客利用德国银行交易认证号码双因素认证系统发送垃圾邮件:首先在银行客户 PC 端传播恶意软件以收集财务信息(包括银行帐户余额、登录凭据与手机号码等);再通过购买恶意电信供应商的访问权限重定向受害者手机号码并对其进行控制;最后登录受害人银行帐户、利用SS7协议漏洞访问帐户并授权进行欺诈性交易。 用 Diameter 协议替代 SS7 协议? 电信专家提出在 5G 网络上利用 Diameter 协议替换 SS7 协议。不幸的是,该协议同样受到若干重要安全漏洞影响,其中包括缺乏对 IPsec 协议的强制执行等。 专家团队曾于去年进行多次测试并在由某全球移动运营商建立的测试网络上进行攻击仿真以评估连接至 LTE 网络的用户受攻击状态。在测试中,安全专家向来自芬兰的英国用户发起网络攻击并发现多种中断用户服务的方法,甚至能够临时或永久关闭整个地区范围内的所有用户连接。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

英特尔修复潜藏 10 年的芯片远程代码执行漏洞(高危)

近十年来,英特尔处理器随附的远程管理功能潜藏着一个关键漏洞,能允许攻击者完全控制不安全网络上的计算机设备。目前官方已释出补丁修复了这一芯片远程代码执行漏洞。 英特尔在其安全公告中将漏洞评级为“高危”,可允许无特权攻击者控制服务器上的可管理性功能。漏洞存在于英特尔主动管理技术(AMT),标准管理(ISM)和小型企业技术(SBT)当中,涉及版本号 6.x,7.x,8.x 9.x,10 .x,11.0,11.5 和 11.6。 官方特别给出了两个例子: ○ 无特权网络攻击者可通过英特尔管理功能来获得系统权限,影响以下 SKU —— AMT、ISM、SBT(CVSSv3 9.8 Critical /AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。 ○ 无特权本地攻击者可通过英特尔管理功能来获得获得网络或本地系统权限,其影响以下 SKU —— AMT、ISM、SBT(CVSSv3 8.4 High /AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。 英特尔官方表示,这一漏洞将会影响 2008 年至 2017 年推出的许多芯片,不过这并不意味着 2008 年以来的每个因特尔系统都能被黑客接管,因为大多数系统并不附带或者并未使用 AMT 等技术,目前也没有迹象表明这一漏洞允许在 ME 上执行任意代码,基于 Intel 的消费者 PC 上更不存在此漏洞。 但由于许多受影响的设备不再从其制造商接收固件更新,这一漏洞将造成广泛且持久影响。   自我诊断四步走: 1、确定系统中是否拥有英特尔 AMT、SBA 或支持英特尔 ISM 功能: https://communities.intel.com/docs/DOC-5693 如果您确定系统中没有 AMT、SBA 或 ISM,则无需采取下一步措施。 2:利用“检测指南”来评估系统是否具有受影响的固件: https://downloadcenter.intel.com/download/26755 如果你拥有的固件标记在“已解决”一列,则无需采取下一步措施。 3:固件更新。目前可修复的固件四位内置版本号均以“3”开头(如 XXXX.3XXX) 4:如果您的OEM无法使用固件更新,这份文档将提供缓解措施: https://downloadcenter.intel.com/download/26754 更多漏洞情报欢迎关注 HackerNews.cc,我们将为您追踪事件最新进展。 本文据 arstechnica、dreamwidth 编译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

雅虎为 Flickr 帐户劫持漏洞猎手授予 7,000 美元赏金

雅虎为 Flickr 帐户劫持漏洞猎手 Michael Reizelman 授予 7,000 美元赏金。 Reizelman 是一位颇受欢迎的漏洞猎手,善于挖掘 Badoo、Dropbox、GitHub、Google、Imgur、Slack、Twitter 与 Uber 等多种网络服务漏洞。他在不久前发现,如果将存在于雅虎图像与视频托管服务的三个漏洞配合使用可成功接管 Flickr 帐户。 Reizelman 发现用户每次登录 Flickr.com 帐户都会被重定向至 login.yahoo.com 域进行身份验证。如果用户已登录,就会在后台被重定向至 login.yahoo.com。此外,login.yahoo.com 请求用于获取用户访问令牌。 据悉,Reizelman 最初在 flickr.com 搜索开放式重定向漏洞并加以利用,但以失败告终。随后,他设计出另一种漏洞利用方法,即通过使用 <img> 标签将受攻击者控制的服务器存储图像文件嵌入 Flickr.com 页面。调查表明,黑客在攻击过程中必须诱导用户点击特制链接以获取访问令牌并接管受害者 Flickr 帐户。 Reizelman 于 4 月 2 日发现与报告该漏洞,并因此获取 7,000 美元赏金。据悉,雅虎公司通过 HackerOne 执行漏洞赏金计划。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

GE MultilinSR 继电保护器关键漏洞威胁电网安全

近日,纽约大学安全专家发现 GE MultilinSR 继电保护器存在关键漏洞, 可绕过认证机制控制设备随意切断电网,这一关键漏洞或对全球电网构成严重威胁。目前美国 ICS-CERT 已发布针对 CVE-2017-7095 的漏洞预警。 专家表示攻击者可通过暴力破解从前面板或 Modbus 命令获取用户密码,未经授权即可访问 GE MultilinSR 系列继电保护器产品。消息显示,专家将于拉斯维加斯即将举行的黑帽大会上进一步披露漏洞相关细节并进行现场演示,他们期待研究成果能对国家电网产生重大影响。 以下是 GE Multilin SR继电保护器受漏洞影响版本: 750 馈线继电保护器,7.47 之前固件版本, 760 馈线继电保护器,7.47 之前固件版本 469 电机继电保护器,5.23 之前固件版本 489 发电机继电保护器,4.06 之前固件版本 745 变压器继电保护器,5.23 之前固件版本 369 电机继电保护器,所有固件版本。 目前 GE 官方已及时发布固件更新,并修复了大部分上述产品的漏洞。369 电机继电保护器的固件更新预计将在今年 6 月发布。 原作者:Pierluigi Paganini,译者:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

现代 BlueLink 系统被曝存安全漏洞,车辆可被远程控制

4 月 25 日,据美国《汽车新闻》( Automotive News )最新消息称,一家名为 Rapid7 的网络安全公司 “ 状告 ” 现代汽车,称其拥有的 Blue Link 智能手机应用存在安全漏洞,使得黑客能够远程控制现代公司的汽车。对此,现代方面正式确认了这个漏洞的存在,并表示已经于 3 月底修复了这个问题。 据了解,去年 12 月 8 日,现代汽车对车载系统 Blue Link 升级,但新系统存在的安全漏洞却使得黑客有了可趁之机。“ 黑客首先对目标车辆定位,然后就可以通过该漏洞完成对汽车的解锁和启动。” 据 Rapid7 公司网络安全主管 Tod Beardsley 解释道。如今,现代汽车不仅承认了该问题,并随后在 3 月初为安卓系统和苹果系统都提出解决方案。幸运的是,据现代汽车北美发言人 Jim Trainor 表示,截至目前,该系统漏洞并未对车主的财产及人身安全造成直接威胁。 针对于类似现代汽车 Blue Link 携带的安全漏洞,Tod Beardsley 认为车辆还仅仅是小偷的目标,车主的个人信息,包括姓名、地址、导航信息、记录数据、APP密码等也都可能成为其囊中之物。 事实上,现代汽车已经不是第一家因为车载系统安全漏洞遭到 “ 指责 ” 的汽车制造商。2015年,通用汽车公司曾在其OnStar(安吉星)汽车通信系统中修复了一个类似的漏洞,该漏洞有可能致使黑客攻击汽车。而菲亚特克莱斯勒则为此付出了实际的 “ 代价 ”:2015 年,由于存在车载系统安全漏洞,黑客可以在 Jeep 高速行驶的状态下远程控制汽车,导致最终 140 万辆汽车在美国面临召回。 稿源:搜狐sohu 内容节选;封面源自网络