分类: 漏洞事件

Flash 又曝新漏洞:允许攻击者向 PC 植入恶意软件

据外媒报道,Adobe Flash Player 插件近期又曝出一个安全漏洞,允许攻击者向目标 PC 植入恶意软件。糟糕的是,该漏洞影响 Linux、Mac、Chrome OS、Windows 全平台,而 Adobe 修复的速度并不快。该恶意软件由安全公司卡巴斯基实验室率先发现,其称之为 “FinSpy” 或 “FinFisher”,因该方法通常被情报执法机构用于监视目的。 路透社报道称,卡巴斯基在积极追击一个名叫 “BlackOasis” 的黑客组织。在连接到位于荷兰、瑞士、保加利亚的服务器之前,他们已借助 Adobe Flash Player 漏洞成功地向计算机植入恶意软件。据悉,BlackOasis 利用 FinSpy 向联合国官员和中东政客,以及地区新闻记者、活动分子、反对派博客发起了攻击。此外,英国、俄罗斯、非洲、伊拉克、伊朗和阿富汗也有受害报道。 Adobe Systems 曾在今年早些时候表示,其有意让漏洞百出的 Flash Player 插件在 2 年之内寿终正寝。不过在 2020 年之前,大家仍易受到 FinSpy 之类的恶意软件攻击,所以 Adobe 还得最后努一把力,把漏洞修复的速度给提升上来。 稿源:cnBeta,封面源自网络;

西门子修复 BACnet 自动化控制器的两处安全漏洞

HackerNews.cc 消息,继上周西门子修复智能电表 7KT PAC1200 高危漏洞后,安全研究人员再次发现西门子的 BACnet 自动化控制器存在两处安全漏洞,允许攻击者在线访问集成 Web 服务器(80/tcp 和 443/tcp)并执行管理操作。这两处漏洞普遍影响了西门子 BACnet 自动化控制器 APOGEE PXC 和 TALON TC  3.5 之前的所有固件版本。目前西门子已发布固件更新。 第一处漏洞(CVE-2017-9946):允许未经身份验证的攻击者在线访问集成 Web 服务器(80/tcp 和 443/tcp),从而通过受损设备下载敏感数据。目前,该漏洞危险等级为【高危】,且 CVSS 基础评分为 7.5。 第二处漏洞(CVE-2017-9947):允许攻击者在线访问集成 Web 服务器(80/tcp 和 443/tcp)后远程窃取受影响设备的文件系统结构信息。目前,该漏洞 CVSS 基础评分为 5.3。 受影响设备普遍应用于商业设施,以便控制取暖、通风和空调(HVAC)设备。目前,西门子已修复漏洞并发布固件更新。对此,安全研究人员强烈建议用户将其设备更新至 3.5 版本,并通过适当的防御机制保护 Web 服务器的网络访问,以便自身 IT 设备免遭黑客攻击。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

传 WPA2 加密协议已被破解,或被用于监控网络活动、拦截未加密数据流

传闻用于保护无线路由器和联网设备不被入侵的 WPA2 安全加密协议似乎已被破解,这意味着你家或办公室 Wi-Fi 物理覆盖范围内的攻击者,都可破解并入侵系统监控网络活动、拦截不安全或未加密的数据流。比如未启用安全超文本传输协议网站的密码或安防摄像头与云端之间的视频流。 鉴于 WPA2 加密协议已经存在差不多 13 年,这样的情况并非太出乎我们的意料。据通用漏洞披露(CVE)所述,研究人员开发出一个概念验证攻击 KRACK(代表 Key Reinstallation Attacks),并在 Github 设立入口后创建了网站 krackattacks.com(目前已上线)。 不过,目前漏洞编号已在线公布,其中包括 CVE-2017-13077、CVE-2017-13078、CVE-2017-13079、CVE-2017-13080、CVE-2017-13081、CVE-2017-13082、CVE-2017-13084、CVE-2017-13086、CVE-2017-13087 和 CVE-2017-13088。对于广大普通用户来说,这意味着即使你不会很快被入侵,在路由器制造商发布安全更新之前,你的无线网络都将处于易受攻击的状态。 对此,安全研究人员提醒用户浏览网站或使用各项服务时,多加留意其是否启用了安全超文本传输协议,不然从你手机或电脑中发出的信息都有可能被攻击者给窃取。如有条件,可借助虚拟专用网来加强网络安全。此外,如果你家中有许多智能家居设备,也请及时调整配置或打上补丁。 更多细节内容欢迎访问:www.krackattacks.com 稿源:根据 cnBeta、solidot奇客内容联合整理,封面源自网络;

安全报告:利用苹果设备的 Wi-Fi 堆栈实现内核的远程代码执行

Google Project Zero 官方博客从九月底陆续发表了三篇文章(一、二、三),分别介绍了对苹果设备 Wi-Fi 堆栈的利用,最终实现了设备的完整控制。 Broadcom 的 Wi-Fi 堆栈今年早些被发现存在漏洞,允许恶意 Wi-Fi 信号在设备上执行任意代码,影响 iOS 和 Android 设备。Google 研究人员承认 Android 生态系统受到影响,他们将注意力转到苹果设备是为了描绘出移动生态系统中 Wi-Fi 安全状况的更完整画面。 然而,通过三篇文章,Google 的研究人员详细描述了如何利用多个漏洞,开发出功能完整的可靠漏洞利用,实现内核代码的远程执行,完整控制设备。Google 将所有漏洞都报告给了苹果,苹果在 iOS 11 中修复了这些漏洞。 稿源:solidot奇客,封面源自网络;

瑞士 BPC 的银行支付系统 SmartVista 存在 SQL 注入漏洞

HackerNews.cc 10 月 12 日消息,安全公司 Rapid7 研究人员于今年 5 月发现瑞士 BPC 团队所创建的银行支付基础设施与管理系统 SmartVista 存在一处 SQL 注入漏洞,允许黑客侵入 SmartVista 前端的身份验证接口后窃取数据库敏感信息,其中包括用户账号与密码。不过,由于安全研究人员在上报该漏洞至 BPC 团队后至今尚未获得回应,因此他们于近期公开披露银行软件平台 SmartVista 易遭黑客 SQL 注入攻击。 美国 CERT 协调中心与瑞士证券交易委员会在漏洞公开披露后发布警示,宣称由于该攻击活动只能通过经身份验证的前端用户触发,因此攻击者可以通过该漏洞后入侵系统、窃取重要信息。 Rapid7 专家发现,对于访问 Transaction 接口的平台需要用户提供卡号、帐号,以及交易日期三个字段。然而,由于 SmartVista 前端缺乏输入验证,因此不会对交易模块中输入的卡号或帐号进行检测。不过,卡号仅接受确切的字段以便提供输出。如果事先并不知道卡号,攻击者也可通过该字段启动 布尔型 SQL 注入。但倘若提供了正确的注入语句(如’或’1’=’1)时,数据库将延迟五秒,从而产生一个基于时间的 SQL 注入向量。此外,攻击者还可利用该漏洞强制查询数据库,从而导致访问信息在线暴露。 目前,Rapid7 安全专家建议使用 SmartVista 的企业安全更新系统至最新版本,同时采用 Web 应用程序防火墙,以便保护平台免受 SQL 注入攻击。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软 Outlook:加密电邮竟包含不受保护的副本

作为一款拥有巨量用户基数的邮件应用,Microsoft Outlook 被曝最近几月未能妥善地帮助用户投递加密邮件。据 SEC Consult 本周早些时候发布的报告,这个问题或与 Outlook 在发送时处理安全多用途邮件扩展(S/MIME)的加密 bug 有关。 S/MIME 是一个公钥加密标准,旨在发送和接收的全过程提供防护,即便两者之间的通道可能被别有用心的人把控,也能确保邮件内容的安全。S/MIME 的工作原理是借助接收者的公钥给邮件正文加花,后者则可以用私钥来解密信息。 据悉,通过 Outlook 漏洞发送出去的邮件包含一个 S/MIME 加密副本,以及未受保护的非加密邮件副本,从而最终允许攻击者可以访问任何一方邮箱、或者介入未加密的 “服务器-服务器” 连接,轻而易举地读取邮件内容。SEC Consult 指出:“该 bug 让 S/MIME 的加密保护彻底丧失”。 对于尚未知晓该问题的用户,还请回顾下 Outlook 应用程序中“已发送”文件夹里被标记为“已加密”的那些邮件。虽然微软已经在本周二的 “补丁星期二”(Patch Tuesday)那天进行了修复,但该公司并未向网络安全公司披露问题存续的时间。 不过,据 SEC Consult 所述,该问题至少从 5 月份持续至今。另外,在此期间(甚至更早些时候),你通过 Outlook 发送的 S/MIME 加密邮件都很有可能被第三方拦截并读取。 稿源:cnBeta,封面源自网络;

三大疑惑解读 SMI 慧荣主控 “后门” 事件

近期固态硬盘行业爆出 SMI(慧荣科技)的主控产品疑似存在漏洞,涉及到 SM2246EN、SM2256、SM2258 三种型号正遭有关部门调查,甚至惊动银监会。目前该事件未得到任何部门的证实,尤其是对于银监会的说法。作为当事人,SMI 也第一时间发出声明,强调公司 SSD 固态硬盘主控绝无开后门漏洞的风险。 SMI 已销售超过 1 亿颗的 SSD 主控,尚无任何一件因 SMI 主控而发生的资料安全危机事件。并表示做好每一个主控芯片产品,配合有关单位澄清相关疑虑,但坚决反对引用未证实或无法证实之新闻做市场竞争不实之宣传。作为媒体,在没有确切证据面前也不会妄加菲薄,单单从技术层面来说,SMI 遇到的这次问题是否真的如所谓银监会所说存在。 “后门”问题疑惑一 首先SSD是存储数据的产品,用户对数据的安全性和私密性肯定是非常关注的,这也是为何此次事件发酵如此之快。SSD作为电脑里面的存储器,如果在关机的情况下是无法进行远程操作,这点想必用户也都非常清楚。 正因为是PC的配件,固态硬盘接收的信息都来自于PC的处理器的指令,如果想让SSD私自绕过PC处理器进行对外数据泄密,也没那么容易。毕竟没有经过PC处理器的调用机制,硬盘无法突破南桥等众多中转控制器,所以反向是行不通的。 “后门”问题疑惑二 如果上述说法不成立,那么 SMI 能不能自定义接口协议,让数据可以外泄呢?其实答案也是否定的。 其实自定义接口就像一个快捷键,能够快速实现客户的某种需求。而这种需求大部分存在于工控行业等特殊需求人群,他们需要在 SATA/PCIe 规范的标准指令以外进行自定义指令,以便于做质量监控或者其他服务,所以这种特需的自定义接口基本都是根据不同客户需求应运而生,也就不存在普罗大众的用户担忧。 “后门”问题疑惑三 SMI 主控带写保护功能会不会影响数据安全?首先了解为何要建立一个写入保护机制。如果设备在写保护状态下,则擦除和写入都是被禁止的,这样的技术可以服务一些特殊需求的企业和机构,比如一些国家机构为了对证据的保存,必须防止存储的数据被复写或错误地删除。因此主控厂商也会在其产品内加入此保护机制,确保用户数据的完整。更为直观的理解,目前市面上的SD存储卡都带写入保护开关,用于控制设备是否能从主机(Host)写入 SD 卡,可以说技术非常成熟了。 所以综上所述,从技术层面来说,SMI 为主控添加后门的说法不是非常的靠谱,就像 SMI 所述,目前出货主控芯片已经达到 1 亿颗,如果发生过类似事件相比早已经东窗事发,不过事情没有弄清楚之前还是观望比较好。 稿源:cnBeta、ZOL,封面源自网络;

西门子修复智能电表 7KT PAC1200 高危漏洞

HackerNews.cc 10 月 7 日消息,安全研究人员 Maxim Rupp 近期发现西门子智能电表 7KT PAC1200 存在高危漏洞( CVE-2017-9944 ),曾允许黑客绕过设备身份验证后远程访问 Web 界面并执行管理操作。据悉,该漏洞影响了西门子 7KT PAC1200 数据管理器 2.03 之前的所有固件版本。不过,目前西门子已发布 7KT PAC1200 固件更新。 KT PAC1200 多通道测量装置属于西门子 SENTRON 能源管理系列,旨在通过传感器监测能耗收集数据。然而,西门子智能电表收集数据后可以通过网络浏览器或 Android 和 iOS 的移动应用查看。 目前,西门子已修复该漏洞并发布固件更新。对此,安全研究人员强烈建议用户将其设备更新至 2.03 版本,并通过适当的防御机制保护 Web 服务器的网络访问,以便自身 IT 设备免遭黑客攻击。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

EFF:iOS 11 控制中心的 WiFi 和蓝牙开关存在误导和安全隐患

苹果公司近期承认在 iOS 11 系统的控制中心中选择关闭 WiFi 和蓝牙功能而实际并未完全关闭的事实遭到非盈利数字权利机构 EFF 的批评。据悉,用户在控制中心关闭 WiFi 和蓝牙功能之后,运行 iOS 11 的 iPhone 和 iPad 就会和 WiFi 网络或蓝牙配件断开连接,但是事实上 WiFi 和蓝牙无线还是处于活跃状态。 调查显示,WiFi 和蓝牙功能会在每天当地时间凌晨 5 点自动激活,用户重启设备之后也是默认是激活状态。苹果此举是为了 AirDrop、 AirPlay、 Apple Pencil、 Apple Watch、 Location Services 以及类似于 Handoff和Instant Hotspot 的连接功能。 EFF 认为苹果的这种做法存在 “误导”,并对用户安全造成了不良影响。EFF批评道:“手机在设计中除了 UI 方面之外,更为重要的是安全和隐私问题。如果用户无法通过视觉或者文本描述来理解设备的行为,那么必然会降低用户对操作系统的认可。用户对操作系统的以来就像是防盗门一样提供安全和隐私的保护,不管他们使用什么应用或者设备连接,这种信任才是基础。” 稿源:cnBeta,封面源自网络;

慧荣科技郑重声明:SSD 主控芯片绝无后门漏洞风险

据相关媒体 10 月 6 日报道称,中国银监会近期在公司生产、开发、测试等环境中,内部核实 SSD 固态硬盘的使用情况,其中还特意指出台湾主控芯片供货商 SMI 慧荣科技的 SM2246EN、SM2256、SM2258 三种型号产品。对此,慧荣科技负责人表示,公司产品设计与相关质量管控一向恪遵包含中国在内各相关销售市场的要求,以及国际间的标准规范;公司 SSD 固态硬盘数据的存储与读出,并无自主对外联系的功能,其功能与传统硬盘无异,主控绝无开后门漏洞之风险。 以下是慧荣科技声明: 1. 本公司产品的安全性为本公司自设立以来奉行不违的圭臬,因此长久以来深受中国与国际客户的信任与采用。此外,本公司产品设计与相关质量管控一向恪遵包含中国在内各相关销售市场的要求,以及国际间的标准规范。 2. 针对“流言消息”之疑点,本公司严肃并谨慎对待此一“流言消息”。本公司藉此重申,本公司所设计制造的 SSD 主控晶(芯)片,是为消费型与工业用途的固态硬盘(盘)产品所设计,功能均为接收主机(Host)读写指令,对闪存执行数据的存储与读出,并无自主对外联系的功能,其功能与传统硬盘无异,绝无“流言消息”所提及之风险。 3. 本公司对于所生产的所有产品秉持全面负责之态度,任何本公司客户或相关主管机关具体指出本公司产品有异于业界协议之处,本公司均以积极负责及公开的态度调查。但本公司亦于此强烈谴责未经求证之传言报导,或仅引用媒体报导就散发无法可经由查证而得以澄清之流言的恶劣市场竞争行为,对于不实的指控本公司保留一切法律追诉权利。 4. 本公司一直以来本着诚信、正直、专注、服务的企业文化,戮力于 SSD 主控的设计开发,以最安全及最高质量主控方案为原则,将最好的产品方案提供给存储巿场伙伴,也已得到中国与全球各大品牌商客户的认同与使用。截至目前为止,本公司已销售超过 1 亿颗的 SSD 主控,尚无任何一件因慧荣主控而发生的资料安全危机事件。本公司今后将继续本着遵循中国及其他各地区所制定之资安标准以及相应的验证程序提供产品。然本公司再次声明,慧荣科技遵守本分、绝无法律灰色地带,做好每一个主控芯片产品,并配合有关单位澄清相关疑虑,但坚决反对引用未证实或无法证实之新闻做市场竞争不实之宣传。 稿源:cnBeta、网易科技,封面源自网络;