分类: 漏洞事件

终端应用程序 iTerm2 可通过 DNS 请求泄露用户敏感信息

iTerm2 是一款颇受 Mac 开发人员欢迎的终端应用程序,甚至取代了苹果官方终端应用的地位。然而,研究人员首次于去年在 iTerm2  3.0.0 版本中发现一处鼠标悬停漏洞,即当用户将鼠标悬停在 iTerm2 终端的任何内容时,该程序将尝试确定字段是否存在有效 URL,并将其作为可点击链接突出显示。此外,为避免使用不准确的字符串模式匹配算法、创建不可用链接,该功能还使用了 DNS 请求确定域名是否真实存在。随后,iTerm2 开发人员立即升级应用至 3.0.13 版本,允许用户自行关闭 “ DNS 查询 ” 功能。不过,系统在默认情况下仍开启该功能权限。 9 月 19 日,HackerNews.cc 得到消息,荷兰开发人员 Peter van Dijk 指出,iTerm2 鼠标悬停漏洞除此前出现的问题外,还包括通过 DNS 请求泄露用户账号、密码、API 密钥等敏感信息。DNS 请求是明文通信,意味着任何能够拦截这些请求的用户都可访问 iTerm 终端中经过鼠标悬停的所有数据。 这一次,iTerm2 开发人员在了解问题的严重程度后深表歉意,并立即发布 iTerm2 3.1.1 版本解决问题。目前,研究人员提醒使用 iTerm2 旧版本的用户更新至最新版本,以确保自身隐私安全。如果用户更新至3.0.13 版本时,可通过相关步骤修改选项、确保系统安全。即打开 “ Preferences ⋙ Advanced ⋙ Semantic History ” 后将 “ Perform DNS lookups to check if URLs are valid? ” 选项改为 “ NO ” 。 原作者:Catalin Cimpanu,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全警告:黑客可利用拦截短信验证黑进比特币钱包

Positive Technologies 近期刊登了一段安全研究人员示范的攻击演示视频,即演示了黑客如何利用 ss7 信令漏洞拦截短信验证,并黑进比特币钱包的全部过程。 在视频中,攻击目标为一所利用短信二步验证保护的交易所 Coinbase,而目标账户也采用 Gmail 的二步验证注册,从而使研究人员成功控制了目标账号的比特币钱包。然而,与其说是利用 Coinbase 交易所的缺陷,不如说是传统的数据网络存在验证缺陷。目前,安全研究人员希望各大比特币交易所和比特币钱包用户引起注意。 稿源:cnBeta,封面源自网络;

Apache Http Options 请求方法存在安全漏洞,可致内存信息泄漏

HackerNews.cc  9 月 18 日消息,安全研究人员 HannoBöck 于近期发现 Apache HTTP OPTIONS 请求方法存在一处安全漏洞( CVE-2017-9798 ),允许攻击者在网站管理员尝试使用无效的 HTTP 方法进行 “Limit” 指令请求时,远程窃取服务器内存信息。目前,官方认定漏洞危险等级为【中危】。 影响范围: ο Apache HTTP 软件 2.2.34/2.4.27 之前版本 解决方法: ο 研究人员已在线发布漏洞概念验证( PoC ) ο 各发行版本厂商陆续发布更新,建议运行 Apache Web 服务器的用户升级至最新版本。 更多详细内容: ο 原文详细报告《Optionsbleed – HTTP OPTIONS method can leak Apache’s server memory》 原作者:HannoBöck,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

全球虚拟化软件企业 VMware 修复产品多处漏洞

据外媒报道,网络安全公司 Comixuris UG 研究人员 Nico Golde 与 Ralf-Philipp Weinmann 于今年 6 月发现全球虚拟化软件研发与销售企业 VMware 的 ESXi、vCenter 服务器、Workstation 与 Fusion 产品中存在多处漏洞,允许攻击者在获取用户低等特权时执行任意代码。近期,VMware 研究人员在线发布漏洞补丁修复程序。 调查显示,上述产品漏洞中最为严重的一处与 SVGA 设备的越界写入有关,其编号为 CVE-2017-4924( CVSS 分值为 6.2)。SVGA 是一台由 VMware 虚拟化产品实现旧版虚拟图像显卡仪器,而该漏洞允许攻击者在 SVGA 主机上执行任意代码。目前,OS X 上的 ESXi 6.5、Workstation 12.x 与 Fusion 8.x 产品普遍遭受影响。 研究人员发布的第二处漏洞(CVE-2017-4925)被列为中等危害,其主要影响 OS X 上的 ESXi 5.5、6.0、6.5 版本、Workstation 12.x 版本与 Fusion 8.x 版本。值得注意的是,具有正常用户权限的攻击者可以利用此漏洞破坏其虚拟机设备。 第三处漏洞(CVE-2017-4926)也被列为中等危害,允许具有 VC 用户权限的攻击者可以在其他用户访问 XSS 页面时执行恶意 JavaScript 代码。不过,研究人员发现该漏洞仅影响 vCenter Server H5 6.5 版本的客户端设备。 原作者:Eduard Kovacs,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软零日漏洞( CVE-2017-8759 )已被利用于传播恶意软件 FinSpy

据外媒 9 月 13 日报道,网络安全公司 FireEye 研究人员近期发现微软 Office 文档存在一处零日漏洞( CVE-2017-8759 ),允许黑客操控受影响系统、安装间谍程序 FinSpy、更改或删除原始数据,以及诱导受害用户打开电子邮件下载特制文档或恶意应用程序。 FireEye 研究人员表示,资金充足的网络间谍组织于今年 7 月就已利用该漏洞传播恶意软件 FinSpy,其主要瞄准讲俄语的用户展开网络攻击活动。 FinSpy 是一款监控软件,由英国 Gamma 组织开发,并仅面向政府与执法机构出售,但隐私倡导者推测该软件也可能被售于专制政权机构。此外,FireEye 研究人员经调查发现间谍软件 FinSpy 在近期的攻击活动中 “ 使用 ” 了混淆代码与内置虚拟设备,以便隐藏受害系统内部进行反分析监控。 一旦受害系统感染恶意软件,FinSpy 不仅能够录制所有通信来电与短信消息,还可远程开启目标设备的摄像头、麦克风,以及实时定位与跟踪用户设备。目前,研究人员尚不清楚有多少用户已被攻击,也不了解此次攻击活动是否与俄罗斯政府有关。不过,好在作为微软每月安全更新的一部分,研究人员已发布漏洞修复补丁。 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

蓝牙协议被曝 8 处零日漏洞,逾 53 亿物联网设备易遭 BlueBorne 攻击

HackerNews.cc 9 月 12 日消息,网络安全公司 Armis 研究人员此前在蓝牙协议中发现 8 处零日漏洞,允许黑客远程操控 Android、iOS、Windows 与 Linux,甚至使用短距离无线通信技术的物联网设备。目前,这些漏洞影响逾 53 亿受害系统,其中包括所有运行 9.3.5 或更旧版本的 iOS 设备、运行时间超过 Marshmallow ( 6.x )或更旧版本的 Android 设备、运行 Linux 版本的数百万智能蓝牙设备,以及商业与面向消费者的 Linux 平台( Tizen OS )、BlueZ 与 3.3-rc1 系统。 据悉,安全公司第一时间将漏洞上报至谷歌、苹果、微软、三星与 Linux 基金会。其 8 处漏洞分别是: Ο Android 设备中存在信息泄露漏洞(CVE-2017-0785) Ο Android 蓝牙网络封装协议(BNEP)服务中存在远程执行代码漏洞(CVE-2017-0781) Ο Android BNEP 个人区域网络(PAN)配置文件中存在远程执行代码漏洞(CVE-2017-0782) Ο Android 版本的 “ The Bluetooth Pineapple ” 存在逻辑漏洞(CVE-2017-0783) Ο Linux 内核中存在远程执行代码漏洞(CVE-2017-1000251) Ο Linux 蓝牙堆栈(BlueZ)中存在信息泄漏漏洞(CVE-2017-1000250) Ο Windows 版本的 “ The Bluetooth Pineapple ” 存在逻辑漏洞(CVE-2017-8628) Ο Apple 低功耗音频协议存在远程执行代码漏洞(CVE Pending) 然而,安全研究人员近期利用上述漏洞构建了一组攻击场景 “ BlueBorne ”,允许攻击者完全接管支持蓝牙的设备、传播恶意软件,甚至建立 “ 中间人 ”(MITM)连接,从而在无需与受害者进行交互时访问设备关键数据与网络。不过,要想快速实现攻击,除受害设备的蓝牙处于开启状态外,还需在攻击设备连接范围内。 另外,Armis 研究团队负责人 Ben Seri 在研究漏洞期间发现,他的团队成功创建了一个僵尸网络,并可以使用 BlueBorne 攻击顺利安装勒索软件。Seri 表示,即使是一个技术老成的黑客也难以利用这些漏洞发起全球性蠕虫攻击,因为很难同时满足条件:所有设备支持蓝牙功能、同时针对所有平台发起攻击、利用一台受害设备自动传播恶意软件。 目前,Google 与 Microsoft 已经为其客户提供了安全补丁,而运行最新版本的移动操作系统(即 10.x)的 Apple iOS 设备也是安全的。不过,Android 用户还需等待其设备厂商发布修复补丁。在此期间,研究人员建议用户可以从 Google Play 商店安装 “  BlueBorne 漏洞扫描器 ”,以检查设备是否遭受 BlueBorne 攻击。如果发现易受攻击,建议用户在不使用设备时将蓝牙关闭。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

友讯 D-Link 850L 无线路由器 10 处零日漏洞被露

HackerNews.cc  9 月 11 日消息,安全研究人员 Pierre Kim 近期发现台湾网络设备制造厂商生产的 D-Link 850L AC1200 双频 Gigabit 无线路由器(A、B 两个版本)存在十处零日漏洞,允许攻击者在拦截流量、上传恶意固件并获取 root 权限时远程劫持与控制受影响网络,致使所有连接设备遭受黑客攻击。目前 10 处漏洞均未被修复。 据悉,虽然 Pierre Kim 于去年发现并报告 D-Link-932B LTE 路由器存在多处高危漏洞,但并未引起公司重视。随后,类似事件于今年 2 月再次发生,研究人员发现 D-Link 产品存在 9 处安全漏洞。不过,公司仍未作出任何响应。因此,Pierre Kim 此次发现漏洞后选择公开具体细节并呼吁 D-Link 能够妥善解决此类问题。以下是 Pierre Kim 发现的 10 处零日漏洞列表,主要影响 D-Link 850L  Rev A 与 B 版本路由器: Ο 缺少适当固件保护:由于不存在固件镜像保护,因此攻击者可以向路由器上传新恶意固件。D-Link 850L Rev A 的固件完全没有保护,而 D-Link 850L RevB 的固件虽然受到保护,但使用硬编码密码。 Ο 跨站点脚本(XSS) 漏洞:D-Link 850L  A 路由器的 LAN 与 WAN 极易遭受 XSS 攻击,即允许攻击者使用经身份验证的用户账号窃取敏感数据。 Ο 检索管理员密码:D-Link 850L RevB 的 LAN 与 WAN 也很脆弱,允许攻击者检索管理员密码并使用 MyDLink 云协议将用户路由器系统添加至攻击者帐户,以便获取访问权限。 Ο 云协议薄弱:该漏洞将会影响 D-Link 850L RevA 与 RevB 版本路由器。MyDLink 协议利用未加密 TCP 通道,或将影响路由器与 MyDLink 帐户之间的通信协议。 Ο 后门访问:D-Link 850L RevB 路由器通过 Alphanetworks 进行后门访问,允许攻击者在路由器上获取 root shell。 Ο 在固件中使用硬编码专用密钥:D-Link 850L RevA 与 RevB 两者的固件中使用硬编码专用密钥,从而允许攻击者在获取后执行中间人(MitM)攻击。 Ο 未进行身份验证检查:允许攻击者通过非认证的 HTTP 请求更改 D-Link 850L RevA 路由器的 DNS 设置,将流量转发至服务器并控制路由器系统。 Ο 文件权限与凭证存储在明文中:D-Link 850L RevA 与 RevB 的本地文件权限与凭证允许攻击者公开访问。此外,路由器以明文形式存储用户凭据。 Ο 预认证 RCE 作为 root:在 D-Link 850L RevB 路由器上运行的内部 DHCP 客户端容易受到命令注入攻击,允许攻击者在受影响设备上获得 root 访问权限。 Ο 拒绝服务(DoS)漏洞:允许攻击者通过 LAN 远程操控 D-Link 850L RevA 与 RevB 后台程序。 对此,研究员 Kim 建议用户切断与受影响 D-Link 路由器的所有连接,以免发生上述攻击操作。此外,美国联邦贸易委员会(FTC)于今年早些时候就已起诉该公司,并指出 D-Link 产品存在安全问题,从而导致数千用户极易遭受黑客攻击。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ICS-CERT 发布安全警报:史密斯医疗设备 Medfusion 4000 无线注射泵存在八处安全漏洞

据外媒报道,美国工控系统网络应急响应团队 ICS-CERT 于 9 月 7 日发布安全警报,宣称史密斯医疗公司生产的 Medfusion 4000 无线注射泵存在八处安全漏洞,允许黑客在未经授权下远程访问系统、修改设备预期操作。其中,该设备最为严重的漏洞(CVE-2017-12725) CVSS 分值为 9.8,与使用硬编码的用户名与密码有关。因此,如果目标用户在该设备上默认配置,那么攻击者将会自动建立无线连接进行远程访问操作。 调查显示,受影响的注射仪器由全球卫生保健专业人员用于控制急性护理药物剂量。例如新生儿或儿科重症监护室以及手术室都将需要此注射仪器传输药物。据悉,研究人员经检测发现高危漏洞主要包括: 缓冲区溢出(CVE-2017-12718):允许黑客入侵目标系统,并在特定条件下远程执行恶意代码; 未经授权访问(CVE-2017-12720):如果该设备允许 FTP 连接,那么黑客可在未经授权下远程操控目标系统; 窃取硬编码凭证(CVE-2017-12724):允许黑客窃取目标系统 FTP 服务器的硬编码凭证; 缺乏主机证书验证(CVE-2017-12721):允许黑客瞄准目标设备开展中间人(MitM)攻击; 另外,其余漏洞均属于中等程度,即允许攻击者利用它们破坏目标设备的通信与操作模块,并使用硬编码凭证进行 telnet 认证后从配置文件中获取用户密码等敏感信息。 研究人员表示,上述八处漏洞仅影响 1.1、1.5 与 1.6 版本的固件设备。据称,史密斯正试图修复漏洞并计划于 2018 年 1 月发布最新版本 1.6.1 解决问题。与此同时,研究人员建议各医疗机构采取防御措施,包括设置静态 IP 地址、监控恶意服务器网络活动、定期创建备份等方案,直至补丁发布。 原作者:PSwati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

智能语音助手还敌不过一次小小的 “ 海豚攻击 ”?

自从人工智能成为新的风口之后,如今就变成了 “ 张口即来 ” 的时代。苹果的 Siri、Google Assistant、亚马逊的 Alexa、微软的 Cortana,甚至三星、小米和华为,都迫不及待地要上台好好比一比。 不过虽然动动嘴就能下指令让 “ 助手们 ” 帮你完成一切是挺好的,但这事却没那么简单。近期,来自浙江大学的研究团队就发现,如今市场上的热门智能语音助手都或多或少存在着一些安全漏洞,只要运用一个小小的技巧,就可以轻易地 “ 黑 ” 进去控制它们。 他们把这个小技巧命名为 “ 海豚攻击 ”(The DolphinAttack),只要将特殊的语音指令转换为类似于海豚的超声波,便可以在人类无法感知的情况下对智能语音助手下指令,实现 “ 隐形 ” 的操纵。 在测试中,研究人员不用像平时一样使用 “ Hey Siri ” 或者 “ Okay Google ” 唤醒智能语音助手,他们只要在一台智能手机上安装一个微型的话筒和扩音器,便可以采用 “ 海豚攻击 ” 对指令进行重新编码,然后就能偷偷地让你的 iPhone 拨号,让你的 MacBook 打开一个恶意网站,或者让你的亚马逊 Echo “ 敞开后门 ”。就连搭载了智能语音助手的奥迪 Q3,也能被控制着重新给自己的导航系统定位。 研究团队从理论上来说,只要了解了这个原理,稍微懂一些相关知识的人都可以完成这个 “ 攻击 ”。 在大部分情况下,这种 “ 攻击 ” 仅能在距离很近的范围内实现,因此一般对远处放置的智能语音音箱来说,要通过这种方式进行控制稍微有点难度。不过对于如今能够随身携带的各类智能手表、手机等设备来说,攻击者要想“黑”进去就比较容易了。 比如说攻击者可以在人群中使用手机播放一段人耳听不到的超声波指令,那么周边的设备就很容易被这种指令所 “ 劫持 ”,去完成攻击者所下达的命令。 根据这支来自浙大的团队近期发表的论文,如今市面上包括 Siri、Alexa、Google Assistant 等在内的主流智能语音助手,都可以捕捉到超过 20kHz 的声波。但对于人耳来说,20 kHz 却是一个临界值。 为什么这些公司宁可留着这么一个漏洞也不考虑提高一下产品的安全等级呢?这就不得不提到到产品的易用性了。 首先,为了能更好地 “ 理解 ” 用户下达的指令,这些语音助手们实际上需要尽可能多地捕捉各种语音信息——包括人耳可以接收到的声音以及人类听不到的各种音频。如果为了提高安全性而减少它们能接收的声音范围的话,这些语音助手可能就没法那么“ 智能 ” 了。 其次,很多公司为了给智能语音助手创造更多的使用场景,已经在各种设备互联中使用了超声波连接。比如说亚马逊可以自动下单的 Dash Button 和手机的连接,大概使用的音频在 18 kHz 左右。对于普通用户来说,他们基本感知不到这种被 “ 隐形化 ” 的连接声音,因此才能获得一种类似魔法般的使用体验。 正因为如此,这种 “ 用户友好型 ” 的设计和数据信息安全越来越成为一种悖论般的存在。来自非营利性机构 SimplySecure 的设计总监 Ame Elliott 表示:我认为硅谷方面在关于产品会不会被滥用还存在很多盲点,很多时候产品规划和设计并不如想象中那么完善。语音控制系统显然很难去保障安全,这方面应该提高警惕。 目前,还是有一些措施可以防范类似于 “ 海豚攻击 ” 的行为。比如说关闭 Siri 和 Google Assistant 的常开装置,这样黑客就没办法通过这种方式侵入你的手机了;而对于亚马逊和 Google Home 这样的智能音箱来说,它们本身就有可以静音的设置。 不过如今这些保护措施还是处于“用户自我防范”的状态,各大厂商们会对此采取什么防范措施,仍然是个未知数。 稿源:凤凰科技,封面源自网络;

Windows 内核 Bug 阻止安全软件识别恶意程序

Windows 内核的一个编程 Bug 会阻止安全软件识别恶意程序。据悉,该 Bug 影响 PsSetLoadImageNotifyRoutine,它是部分安全软件在代码加载到内核或用户空间时对其进行识别的底层机制之一。攻击者能够利用该 Bug 让 PsSetLoadImageNotifyRoutine 返回无效模块名,并将恶意程序伪装成合法操作。 安全研究员称,该 bug 影响 Windows 2000 之后的所有版本,包括最近发布的 Windows 10。研究人员称,微软不认为这是一个安全问题。 稿源:cnBeta、solidot奇客,封面源自网络;