分类: 漏洞事件

谷歌安全团队公布 Windows 10 漏洞:微软仍未提供修复方案

据外媒报道,近日,谷歌 Project Zero 公布了其在 Windows 10 中发现的一个漏洞。据悉,该漏洞位于用于处理大量程序的 gdi32.dll 文件中。Project Zero 是谷歌公司在 2014 年推出的一项网络安全项目,旨在遭恶意软件利用之前找到并修复该安全漏洞。据了解,Project Zero 在发现漏洞之后并不会马上公布于众,而是会将这一情况反应给软件开发商并给他们 90 天的修复时间,如果该开发商未在这一期限内完成修复那么团队就会对外公布。 针对这一漏洞报告,微软方面并未作出回应,所以近期是否会有修复方案就不得而知。按理说,微软应当在此前的周二补丁日向用户推送该漏洞修复更新,但在那天,微软却宣布延迟,换句话说,用户将最快在下个月 14 日才可能补上该漏洞。 稿源:cnBeta;封面源自网络

多款 Android 应用存漏洞,数百万汽车面临被盗风险

近日,卡巴斯基的一组研究人员对 9 辆互联网汽车的 Android 应用(来自 7  家公司)进行了测试,这些应用的下载量已经超过几十、上百万,但却连最基础的软件保护都没有提供。 研究人员表示,通过 Root 目标设备获得欺骗用户安装恶意代码,黑客能够使用卡巴斯基所测试的所有 7 款应用来定位车辆位置,解锁车门,甚至能够在某种情况下点火启动。研究人员发现最糟糕的攻击行为是,允许黑客进入到锁定车辆的内部;通过仿制钥匙或则禁用车辆的防盗器等额外手段,偷车贼能够产生更严重的后果。研究人员指出尽管并未纳入到本次的测试中,但是特斯拉的汽车允许通过智能手机应用启动驾驶,一旦智能手机被入侵将会产生更严重的损失。 目前尚未发现有 Android 恶意软件激活使用这种攻击手段。不过研究人员仍然认为,只是单单查看应用的代码脚本,偷车贼都可能知道利用这些漏洞和功能。消息指出,来自黑客论坛的有限证据已经表示在这种攻击已经在黑市上引起了注意和兴趣。 为了避免那些偷车贼利用这些信息进行犯罪,目前安全公司并未对外透露关于测试应用的详细名称。不过,他们认为应该向汽车行业发出警告,要求汽车制造商更加谨慎的对待安全问题。 据 搜狐科技、威锋网 消息整理,封面源自网络

Adobe 发布 Flash 插件更新,修复重大安全漏洞

Adobe 本周发布了 Flash Player 版本 24.0.0.221 ,新版解决了可能导致攻击者控制被感染系统的重大安全漏洞。受影响的系统包括 Mac 、Windows、Linux 和 Chrome OS。安装有 Flash 24.0.0.194  或更早版本的 Mac 用户应该立刻升级。 谷歌 Chrome 浏览器内置 Flash 会自动升级至 24.0.0.221 版本。这次的安全漏洞由谷歌、微软、 Palo Alto Networks 和 Trend Micro 公司的安全团队发现。 macOS Sierra 系统中的 Safari 会默认禁用 Flash 插件,用户可以手动打开。在过去1年中,Adobe 已经发布了 15 次 Flash 插件重大安全漏洞修复补丁。 稿源:cnBeta;封面源自网络

OpenSSL 1.1.0 修复高严重性漏洞 CVE-2017-3733

本周四,OpenSSL 开发团队修复了高严重性 DoS 漏洞( CVE-2017-3733 )。该漏洞是由红帽子 Joe Orton 于 1 月 31 日报道,并称该漏洞为“ Encrypt-Then-Mac 重新协商崩溃”漏洞。在重新协商握手期间,如果 Encrypt-Then-Mac 扩展协商不是在原来的握手过程中会导致服务崩溃(依赖于 OpenSSL 密码套件)。目前确定客户机和服务器都受影响的。 漏洞影响范围: OpenSSL 1.1.0 版本 ** OpenSSL version 1.0.2 版本不受影响 修复方案 将 OpenSSL 1.1.0 升级到最新版本 OpenSSL 1.1.0e 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

WordPress REST API 零日漏洞后续调查

此前,本站报道过 WordPress 修复了 REST API 引起的零日漏洞。近日,知道创宇 404 实验室使用 ZoomEye 网络空间探测引擎发现,受该漏洞影响的网站仍然有 15361 个,这些网站分别归属于 82 个国家与地区,其中 Top20 国家与地区分布如下图: 2 月 13 日,404 实验室进一步探测这些网站的运行情况,发现共有 9338 个网站已经留下了黑客的痕迹。随后我们统计了黑客组织留下的黑客代号,发现不同的黑客代号共出现了 85 种。其中 Top20 黑客组织代号如下表: 上图由自 404 实验室提供 上表说明的是此时依旧活跃在互联网上的针对该漏洞的黑客组织的排名,接着我们启用了比较擅长的黑客追踪技能,挖掘总结如下(部分): 1、代号为 w4l3XzY3 的黑客是事件早期被报道出来的黑客之一,此人曾经于 2014 年针对 Drupal 网站进行过相同性质的入侵行为。该黑客一直在入侵网站挂黑页,是个惯犯…… 2.代号为 SA3D HaCk3D 与 MuhmadEmad 的黑客入侵后留下的页面是相似的,均含地域性的政治诉求。不禁联想到本次受影响的站点又以美国居多…… 3.代号为 Shade 与 Sxtz 的黑客在留下的信息中互相问候,疑似同一组织成员…… 4.代号为 GeNErAL HaCkEr ,GeNErAL 与 RxR HaCkEr 的黑客同样疑似出自同一组织,该组织名为 Team Emirates…… 5.代号为 GHoST61 的黑客留下的信息为土耳其语,翻译出来大意是土耳其无处不在,疑似是出自土耳其的黑客组织…… …… 对于此次事件,我们还会在将来持续跟进。 本文由 HackerNews.cc 编辑,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

任何使用 jQuery Mobile 并开放重定向的网站都易受到 XSS 攻击

任何使用 jQuery Mobile 并且具有开放重定向功能的网站都易受到 跨站点脚本( XSS )攻击,消息显示 jQuery Mobile 开发团队暂不决定修复该漏洞。 Query 基金会的 jQuery Mobile 项目是一个基于 HTML5 的框架,用于创建移动 web 应用程序,适用于所有流行的智能手机和平板电脑。该项目已被超过 15 万个活跃网站使用。 Google 安全工程师 Eduardo Vela 发现 jQuery Mobile 将获取 location.hash 文件中的任何 URL 并将其放在 innerHTML 中,这种行为将被攻击者在特定条件下利用发动 XSS 攻击。漏洞利用详情可查看国内漏洞情报平台 Seebug 。 据专家介绍,由于许多组织都不将开放式重定向作为安全漏洞,所以许多网站都容易受到这种攻击,如谷歌,YouTube,Facebook,百度和雅虎。坏消息是,jQuery Mobile 开发团队暂不会修复该漏洞,修复该漏洞将对现有应用程序造成潜在影响。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

F5 BIG-IP 产品存漏洞“ Ticketbleed ”,暴露近千网站 HTTPS 加密连接

据外媒报道,F5 BIG-IP 网络设备中存在软件漏洞,至少有 949 个全球排名前 100 万的网站受到影响,可泄露经 HTTPS 加密连接的敏感数据。 使用修改版本的 zgrab 对互联网进行扫描发现的受影响网站。 F5 BIG-IP 是一种网络,通过管理进入的 Web 数据流量和增加有效的网络带宽,从而使网络访问者获得尽可能最佳的联网体验的硬件设备。 该漏洞被称为 Ticketbleed ( CVE-2016-9244 ),存在于 F5 BIG-IP 设备的 TLS / SSL 堆栈中,允许远程攻击者一次提取高达 31 字节的未初始化内存。攻击者可向站点发送特制的数据包,获取连接 Web 服务器内存中的小块数据。风险在于,攻击者可多次执行此操作,从而获取加密密钥或其他用于保护终端用户与站点会话而建立的 HTTPS 连接。 该漏洞与“心脏出血( heartbleed )”漏洞有相似的地方,它们都利用安全传输层协议( TLS )中的漏洞破坏加密连接的安全性、获取到随机未初始化的内存数据。它们间也存在差异,Ticketbleed 只影响其专有的 F5 TLS 堆栈,而 “心脏出血”漏洞影响的是开源 OpenSSL ,此外,Ticketbleed 漏洞获得的内存块更小( 31 个字节),这需要等多“努力”来利用这个特性。 修复解决方案 受影响版本的完整列表可在 F5 网站上找到。目前,并非所有版本都有可用的升级更新。 对于部分版本可通过禁用 Session Tickets 解决,但这会导致恢复连接的性能下降。 F5 提供的操作方法: 1. 登录到配置实用程序 2. 在菜单上导航到本地流量>配置文件> SSL >客户端 3. 将配置的选项从基本切换到高级 4. 取消选中的 Session Ticket 选项,以禁用该功能 5. 单击更新以保存更改 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

ISC 修复 BIND 域名系统严重漏洞,可导致服务崩溃

互联网软件系统联盟( ISC )本周修复了 BIND 域名系统,解决了一个可被远程利用导致系统崩溃的严重漏洞。 DNS64 是配合 NAT64 实现 IPv4 – IPv6 互访的关键部件,主要功能是合成和维护 AAAA 记录( AAAA record ),从而转化 IPv4 地址便于 IPv6 客户端接收。 应答策略区域( RPZ )机制用于域名系统递归解析器处理特定域名信息。 该漏洞( CVE-2017-3135 )发生在服务器同时使用 DNS64 和 RPZ 功能时,由于某些配置问题将导致重写查询响应不一致,引发 INSIST assertion 失败或尝试读取 NULL 指针。在大多数平台上,读取 NULL 指针将导致分段错误( segmentation fault )、进程终止。 受影响的版本 9.8.8 9.9.3-S1 -> 9.9.9-S7 9.9.3 -> 9.9.9-P5 9.9.10b1 9.10.0 -> 9.10.4-P5 9.10.5b1 9.11.0 -> 9.11.0-P2 9.11.1b1 解决方法 从配置中删除 DNS64 或 RPZ 作为解决方法。 最安全的措施还是更新 BIND 升级到当前最新版本(下载链接)。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

数以千计的 WordPress 网站未修复零日漏洞遭黑客入侵

上周,本站曾报道过 WordPress 修复了 REST API 引起的零日漏洞。据 Sucuri 最新报道,漏洞被披露后,黑客开始尝试扫描、利用漏洞,并成功入侵了众多 WordPress 4.7.0 和 4.7.1 版本网站。 安全公司 Sucuri 监测到的 WAF 网络被攻击趋势 该漏洞于 1 月 26 日修复并于 2 月 3 号披露详情,漏洞可导致远程权限提升和内容注入,WordPress 所有文章内容可以未经验证被查看,修改,删除,甚至创建新的文章,危害巨大。漏洞被披露后不到 48 小时,众多漏洞情报平台开始转载分享。默认情况下 WordPress 启用了自动更新功能,但由于部分原因,某些网站没有更新升级,这给了犯罪分子的可乘之机。 安全公司 Sucuri 表示通过观察蜜罐和网络,已检测到四个不同的黑客组织对该 WordPress 漏洞进行大规模扫描、利用。其中最成功的是“ w4l3XzY3 ”,根据 Sucuri 周一的 Google 搜索结果,w4l3XzY3 已经成功入侵了 66000 个博客页面,现在搜索结果已上升到 100000 +。 w4l3XzY3 组织正在使用的 IP 地址: 176.9.36.102 185.116.213.71 134.213.54.163 2a00:1a48:7808:104:9b57:dda6:eb3c:61e1 第二个黑客组织被称为 Cyb3r-Shia ,目前已成功入侵了 500 + 页面,正在使用的 IP 地址:37.237.192.22。此外另外两个黑客组织 NeT.Defacer 和 Hawleri_hacker 共用一个 IP 地址:144.217.81.160 ,也都各自入侵了 500 + 页面。 特别是还没有来得及更新的网站,管理员应及时检查日志文件,并阻止来自这些 IP 地址的探测,避免被博客被攻击者恶意利用。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

76 款知名应用存在安全漏洞,累积下载量突破 1800 万

安全研究人员开发的 verify.ly 服务通过扫描 iOS App Store 中的应用发现,有 76 款知名的应用存在安全漏洞,数据传输容易被拦截。无论 App Store 开发者是否使用  App Transport Security(应用传输安全功能),安全漏洞都存在。verify.ly 服务专门帮助开发者扫描 iOS App Store 中的应用,并帮助开发者增强应用安全性。今天的发现令人真震惊,因为这 76 款应用在 App Store 的累积下载量超过了 1800 万。 iOS 系统的 App Transport Security 功能无法帮助阻止这个安全漏洞。App Transport Security 在 iOS 9 中出现,主要帮助提升用户安全性和隐私,简单的说,这个功能强制应用使用 HTTPS。这次出现的安全漏洞问题是因为错误配置网络代码导致的,错误的网络代码导致苹果 App Transport Security 一直认为连接是安全的 TLS 连接,即使连接不是。因为安全问题,Strafach 并没有公开存在安全漏洞的应用名单。 稿源:cnBeta;封面来源于网络