分类: 漏洞事件

MIT:区块链投票系统 Voatz 存在漏洞 易受攻击

麻省理工学院工程师团队的最新研究发现,在名为Voatz的区块链投票系统中存在一系列令人震惊的漏洞。对Voatz的Android应用程序进行反向工程后,研究人员得出结论称,通过入侵选民手机,攻击者几乎可以随意观察、压制和更改选票。该论文称,网络攻击还可能揭示给定用户在哪里投票,并可能在此过程中压制投票。 研究人员说,最令人不安的是,破坏了管理Voatz API的服务器的攻击者甚至可以在投票到来时更改选票,这在理论上应该可以防止分布式分类账的威胁。 研究人员得出结论称:“鉴于本文所讨论的失败的严重性,缺乏透明度,选民隐私的风险以及攻击的琐碎性质,我们建议放弃将这个应用程序用于高风险选举的任何近期计划。” Voatz的基于区块链的投票项目旨在替代缺席选票,安全研究人员对此表示怀疑,但许多科技界人士表示了浓厚兴趣,其获得了超过900万美元的风险投资。在Voatz系统下,用户将通过应用程序远程投票,并通过手机的面部识别系统验证身份。 Voatz已经在美国的一些次要选举中使用,在2018年西弗吉尼亚选举中收集了150多张选票。 Voatz 在博客文章中对MIT的发现提出了质疑,称该研究方法存在“错误”。该公司的主要抱怨是,研究人员正在测试Voatz客户端软件的过时版本,并且没有尝试连接到Voatz服务器本身。博客文章写道:“这种有缺陷的方法使关于其破坏整个系统能力的任何主张无效。” Voatz的高管在与记者的电话中辩称,服务器端保护将阻止受感染的设备通过身份验证进入更广泛的系统。Voatz首席执行官Nimit Sawhney说道:“他们的所有主张都基于这样的想法,因为他们能够破坏设备,因此能够破坏服务器。而这个假设是完全错误的。” Voatz还强调了允许选民和选举官员事后核实选票的措施。该公司产品负责人Hilary Braseth说道:“使用Voatz提交的每张选票都会产生纸质选票,使用Voatz的每位选民一旦提交,都会收到一张选票。” 到目前为止,这些解释并没有使安全专家印象深刻。 约翰·霍普金斯密码学家Matthew Green在Twitter上指出:“设备只是将票发送到服务器。服务器可能会将它们放在区块链上,但是如果设备或服务器受到威胁,这将无济于事。Voatz需要解释他们如何处理这个问题。” Voatz还在博文中指出了其正在进行的漏洞赏金计划和定期的代码审查,以证明该应用程序具有强大的安全性-但有些研究人员可能不同意。去年10月,该公司因FBI转介事件而备受抨击,消息人士告诉CNN该事件起源于密歇根大学的选举安全课程。其他人则批评了Voatz的赏金计划对研究人员来说是繁重且敌对的,这可能解释了为什么麻省理工学院的研究人员没有参加其中。 总体而言,这仍然不是第一次提出有关Voatz或区块链投票的安全问题。11月,参议员Ron Wyden(D-OR)写信给五角大楼,提出对Voatz安全性的担忧,并要求对该应用程序进行全面审核。该请求最终被推迟。Wyden在一份声明中说道:“网络安全专家已经明确表明,互联网投票是不安全的。现在距离共和党人结束选举安全禁令和让国会通过整个选举系统的强制性安全标准已经过去了很长时间。”   (稿源:cnBeta,封面源自网络。)

WhatsApp 桌面客户端曝出远程文件访问和代码执行漏洞

Facebook 刚刚修复了 WhatsApp 桌面平台中一个严重的安全漏洞,消除了允许攻击者从 Windows / Mac 上的本地文件系统中读取文件、甚至远程代码执行的隐患。该漏洞由安全研究人员 Gal Weizman 和 PerimeterX 共同发现,美国国家标准技术研究所(NIST)评估的严重等级为 8.2 。 早在 2017 年的时候,研究人员就已经发现过可更改他人回复文字的问题。Weizman 意识到,他可以利用富媒体制作以假乱真的消息,将目标重定向到他指定的位置。 安全研究人员进一步证实了此事,可以利用 JavaScript 达成一键式持久性跨站脚本攻击(XSS)。 最终绕过 WhatsApp 的 CPS 规则来增强攻击能力,甚至实现远程代码执行 经过一番挖掘,研究人员意识到这一切都是可行的。因为 Facebook 提供的 WhatsApp 桌面应用程序版本,正式基于过时的 Chrome 69 版本。 问题在 Chrome 78 正式推出时曝光,早几个版本中使用的 javascript 技俩的功能已得到修补。 若 WhatsApp 将其 Electron Web 应用程序从 4.1.4 更新到发现此漏洞时的最新版本(7.x.x),那 XSS 也将不复存在。 Facebook 表示,CVE-2019-18426 漏洞影响 0.3.9309 之前的 WhatsApp 桌面客户端、以及 2.20.10 之前的 iPhone 客户端。 有关漏洞的详情,还请移步至 Weizman 的 PerimeterX 博客文章中查看。   (稿源:cnBeta,封面源自网络。)  

安全人员发现以色列政府 DNS 服务器存在 Open SSH 安全漏洞

安全研究人员Eitan Caspi最近检查了gov.il子域的HTTPS站点是否有安全问题,结果他在以色列政府DNS服务器上发现了一个开放的Open SSH访问。 使用Qualys开发的在线SSL检查器,Eitan Caspi分析了服务器上的SSL配置,最终在端口22上收到来自其中一个被检查IP的答复。 SSH使用端口22,该服务允许管理员连接到Linux服务器,Caspi说开放访问允许他尝试登录。 Eitan Caspi在当天将这一发现发送给以色列国家认证中心,十分钟后,Eitan Caspi还设法联系了以色列政府信息技术部门资深人士,并将详细情况告知了相关问题。根据Eitan Caspi透露,几个小时后,端口被关闭,通道被封锁。 但是,经过进一步分析,他发现该服务器使用了一个OpenSSH旧版本,该版本以包含多个漏洞而闻名。该服务器运行的是OpenSSH 7.4p1,该版本于2016年12月发布,因此已经存在三年多了。从那时起,OpenSSH发行了多个版本和针对各种安全问题的一系列安全修复程序,现在服务器中可能没有安装这些更新版本和修复程序。   (稿源:cnBeta,封面源自网络。)

Sudo 出现可让非特权用户获得 root 权限的漏洞

Sudo 维护团队指出,从 Sudo 1.7.1 到 1.8.25p1 都包含一项可让非特权用户获得 root 权限的漏洞(编号 CVE-2019-18634),他们已在最新发布的 1.8.31 版本中完成修复,同时提供了暂时缓解的方法。Sudo 1.7.1 于2009年4月19日发布,因此该漏洞已存在大约 10 年。 另外,1.8.26 到 1.8.30 版本也发现存在 CVE-2019-18634 漏洞,但 1.8.26 版本发布时曾变更 EOF(end of file)处理的设定,致使该漏洞无法被利用。 Sudo 是 UNIX 和 Linux 操作系统广泛使用的工具,它让系统管理员给普通用户分配合理的权限,以执行一些只有管理员或其他特定帐号才能完成的任务。此次被发现的高危漏洞在启用了 pwfeedback 选项的系统中很容易被利用,根据漏洞的描述,pwfeedback 功能让系统能够以 ‘*’ 表示目前输入的字符长度,原意是一项提升安全性的功能,但安全研究员 Joe Vennix 发现系统启用 pwfeedback 功能后,用户可能会触发基于堆栈的缓冲区溢出 bug,从而获得 root 权限。 虽然在 sudo 的上游版本中默认情况下未启用 pwfeedback,但某些下游发行版,例如 Linux Mint 和 elementary OS 在其默认 sudoers 文件中启用了它(Ubuntu 不受影响)。 具有 sudo 特权的用户可以通过运行以下命令来检查是否启用了 pwfeedback: 如果在”Matching Defaults entries”输出中列出了 pwfeedback,则 sudoers 配置将受到影响。如下所示的 sudoers 配置就很容易受到攻击: $sudo -lMatchingDefaults entries for millert on linux-build:insults,pwfeedback, mail_badpass, mailerpath=/usr/sbin/sendmailUsermillert may run the following commands on linux-build:(ALL : ALL) ALL 最后,建议受影响的系统尽快将 sudo 升级至最新版本 1.8.31。如果没条件升级到新版本,在启用了 pwfeedback 的 sudoer 配置文件里,将“Defaults pwfeedback”改成“Defaults !pwfeedback”,也能有效阻止攻击。   (稿源:开源中国,封面源自网络。)

Facebook 修复了 WhatsApp 中的漏洞,阻止黑客访问用户本地文件系统

Facebook 解决了 WhatsApp 中的一个严重漏洞(CVE-2019-18426),黑客可能利用该漏洞读取macOS 和Windows 操作系统的用户文件。 根据Facebook发布的安全公告,与iPhone端WhatsApp搭配使用时,WhatsApp Desktop中的一个漏洞允许跨站点脚本编写和本地文件读取。用户单击特制文字消息中的链接预览将会触发此漏洞。   Weizman在WhatsApp的内容安全策略(CSP)中发现了一个漏洞,使得黑客可以对进行跨站点脚本攻击(XSS),后续还发现黑客还可以利用此漏洞获得Windows和macOS 上WhatsApp应用文件的读取权限。 专家写道: “如果您运行的应用是易受攻击的旧版本,该漏洞将有可能对您造成不良影响。” “关于如何使用fetch()API,例如,可以从本地操作系统读取文件,例如本例中的C:\ Windows \ System32 \ drivers \ etc \ hosts文件的内容,” 该漏洞可能使黑客在消息中注入恶意代码和链接,这些消息和链接对于受害者是完全透明的。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Sudo 漏洞允许非特权 Linux 和 macOS 用户以 root 身份运行命令

苹果的安全专家Joe Vennix发现了一个漏洞(CVE-2019-18634),它允许非特权Linux和macOS用户以root身份运行命令。 此漏洞仅能在特殊配置下利用。 仅当“pwfeedback”选项已在sudo配置文件中启用时才能利用该漏洞。root的 pwfeedback 选项允许在用户输入密码时提供视觉反馈。 专家指出,即使用户不在用户文件中也可以触发此漏洞。 “无需获得 root 权限即可触发此漏洞,只需启用 pwfeedback 即可。” sudo 开发人员 Todd C. Miller 写道。 “在输入密码时,可以通过管道大量输入sudo进行复现。例如:” $ perl -e 'print(("A" x 100 . "\x{00}") x 50)' | sudo -S id Password: Segmentation fault 造成此漏洞的原因有两个: 从终端设备以外的其他设备读取时一般不会忽略pwfeedback选项。由于缺少终端,因此行擦除字符的版本始终为初始值0。 如果存在写错误,擦除星号行的代码将无法正确重置缓冲区位置,但是会重置剩余的缓冲区长度。这将导致getln()函数写到缓冲区以外。” 如果启用了该选项,可以在用户配置文件中将“Defaults pwfeedback” 改为 “Defaults !pwfeedback” 。 sudo 维护人员发布了 root 的 1.8.31版本。 “虽然 sudo 的1.8.26到1.8.30版本中也有逻辑错误,但是由于1.8.26之后的版本对EOF处理进行了改动,所以无法利用漏洞。”Miller解释道。 在2019年10月,Vennix 发现了一个Sudo绕过问题,即使“sudo用户配置”不允许进行root访问,恶意用户或恶意程序仍然可以在目标Linux系统上以root用户身份执行任意命令。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

NSA 发现 Win10 漏洞 影响全球数十亿用户

继Adobe 星期二发布2020年第一个补丁程序软件更新后,微软也发布了一月份安全公告,警告数十亿用户有49个漏洞需要更新。周二发布的补丁程序的特别之处在于它更新修复了一个由美国国家安全局(NSA)发现的被广泛应用于windows10、Server 2016和2019版本中的一个核心组件。 CVE-2020-0601: Windows CryptoAPI欺诈漏洞 根据微软发布的官方公告:这个被称为“’NSACrypt”并定义为CVE-2020-0601的漏洞存在于Crypt32.dll模块中,该模块被包含在windows API系统,会对数据进行加密以及对各种“通行证和加密信息传递”进行解密处理。 但问题在于Crypt32.dll模块主要采用椭圆曲线加密(ECC)方式(该加密形式主要在SSL/TLS证书中使用),而椭圆曲线加密是目前公钥加密行业的标准。NSA在发布的新闻稿中对此现象解释到:攻击者通过通行证会破坏windows的加密验证方式,实现远程代码的执行。 攻击者通过滥用漏洞会破坏的验证方式有: HTTPS连接 签名文件和电子邮件 用户模式进下启动可执行签名代码 尽管该漏洞的技术细节尚未公开,但微软证实:若攻击者成功利用漏洞,会在用户不知情的情况下仿冒用户数字签名,进行恶意软件程序安装,也可以仿冒用户安装任何合法软件。此外,CryptoAPI中的漏洞还可能使远程攻击者更容易冒充网站或对受影响软件上的信息进行解密。 国家安全局表示:“此漏洞是我们与安全社区研究合作的一个例子,为确保用户安全,在此之前一个漏洞已被私下披露进行发布更新,若我们不对漏洞进行修复,其后果会很严重。 除了威胁等级被评为“重要”的Windows CryptoAPI欺诈漏洞之外,微软还修补了48个其他漏洞,其中8个是核心漏洞,其余40个都是重要漏洞。目前对于此种漏洞没有彻底的解决办法,建议用户可通过点击“窗口设置→更新和安全→窗口更新→单击“检查电脑上的更新”来安装最新的软件更新。 Windows系统中的其他重要的RCE漏洞 其中两个是会影响windows远程网关的CVE-2020-0609和CVE-2020-0610,未经身份验证的攻击者可以利用这些网关通过RDP请求在目标系统上执行恶意代码。 “此漏洞采用的是身份预先认证,不需要用户进行交互认证。成功利用此漏洞,攻击者可以在目标系统上执行任意代码,”windows顾问说。而CVE-2020-0611远程桌面客户端中的一个关键问题是它可能会导致反向RDP攻击,恶意服务器可以在连接客户端的计算机上执行任意代码。 “要利用这一漏洞,攻击者需要控制服务器,然后说服用户连接到它,而攻击者还可能危及合法服务器,在其上托管恶意代码,并等待用户连接”微软顾问说到。 幸运的是,微软本月修复的漏洞并未发现被公开披露或任意利用。   消息来源:thehackernews, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Facebook 漏洞或泄露主页管理员信息

Facebook于上周解决了一个安全漏洞,该漏洞暴露了主页管理员的帐户,并且被黑客利用于向若干个名人的主页发动在野攻击。 主页管理员的帐户是匿名的,除非页面所有者选择公开,但漏洞将会泄露管理员的帐户。 Facebook的“查看编辑历史”允许主页管理员查看所有相关的活动,包括修改过帖子的用户的用户名。黑客可能根据这个漏洞泄露修改者以及管理员的账号,并严重影响隐私。 在安全研究员警告后,Facebook迅速解决了该问题。 黑客攻击的页面列表包括 Donald Trump总统,街头艺术家Banksy,俄罗斯总统Vladimir Putin,前美国国务卿Hillary Clinton,加拿大总理Justin Trudeau,黑客组织匿名人士,气候活动家Greta Thunberg,以及说唱歌手Snoop Dogg等。 2018年2月,安全研究员Mohamed Baset 在Facebook上发现了一个类似漏洞。 Baset解释说,该漏洞属于“逻辑错误”:他之前曾在一个界面点赞了一篇帖子,之后他收到来自Facebook的邀请邮件,邀请链接就指向了这篇帖子所在的页面。研究人员分析了社交网络发送的电子邮件的源代码,发现其中包括页面管理员的姓名和其他信息。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Adobe 发布更新,解决 Illustrator 和 Experience Manager 中的漏洞

Adobe星期二发布了2020年第一个补丁程序软件更新  ,解决了Illustrator和Experience Manager中的多个漏洞。 安全公告称:“ Adobe已发布了针对Adobe Experience Manager(APSB20-01)和Adobe Illustrator(APSB20-03)的安全公告。Adobe建议用户根据说明将其产品更新到最新版本。” Windows版Illustrator CC 2019的安全更新解决了五个严重的内存损坏问题(CVE-2020-3710,CVE-2020-3711,CVE-2020-3712,CVE-2020-3713,CVE-2020-3714),黑客可以利用在目标用户的上下文中执行任意代码。 Fortinet’s FortiGuard实验室负责人Honggang Ren已将所有漏洞报告给Adobe。 尽管已为漏洞分配了严重等级,但其优先级为3,Adobe不会希望这些漏洞被黑客利用。 Adobe还发布了Adobe Experience Manager(AEM)的安全更新,该更新解决了四个被评为重要和中等的问题(CVE-2019-16466,CVE-2019-16467,CVE-2019-16468,CVE-2019-16469)。Netcentric的安全专家Lorenzo Pirondini向Adobe提交了编号为CVE-2019-16466和CVE-2019-16468的漏洞。 Reflected 跨站点脚本(XSS)和 Expression Language注入的危险级别较高,并且可能泄露敏感信息。用户界面注入问题危险性为中等,它也可能导致敏感信息的泄露。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

本月补丁星期二将修复严重安全漏洞 Windows 7 或无缘获得

援引外媒KrebsonSecurity报道,在2020年1月的补丁星期二活动中,微软可能已准备好修复存在于Windows系统中的严重加密漏洞,而该漏洞能够让恶意程序伪装成为受信任的组件欺骗用户进行安装感染。而重点是,今天正式停止支持的Windows 7系统可能不会修复该漏洞。 KrebsonSecurity在推文中写道:“消息源称微软计划在补丁星期二中修复存在于所有Windows版本中的严重安全漏洞,该漏洞是一个核心加密组件,可能会被用来欺骗数字签名软件的来源。显然,国防部和其他一些人会获得一个高级补丁https://t.co/V6PByhjTNR” 报道中称存在于Windows组件crypt32.dll中的安全漏洞非常严重,以至于Microsoft提前向政府安全服务发布了补丁。 KrebsonSecurity表示:“多方消息源确认,微软公司定于本周二发布软件更新,以修复所有Windows版本中核心加密组件中的严重漏洞。目前相关补丁已经提前发给了美军分支机构、以及管理关键互联网基础设施的其他高价值客户/目标,而且这些组织被要求签署协议以阻止他们透露漏洞的细节。” 不过在后续的声明中,微软否认了这一点。更为严重的是,该组件可以追溯到Windows NT时代的所有Windows版本,不过由于Windows 7停止支持,微软将不会发布相应的安全补丁。   (稿源:cnBeta,封面源自网络。)