分类: 漏洞事件

谷歌 Fuzz Bot 在开源项目中嗅探出超过千余 Bug

自 Google 宣布 OSS-Fuzz 之后的五个月内,这款工具在开源项目中嗅探出超过 1000 个 bug,其中包括 264 个潜在的安全漏洞。谷歌团队非常努力,每天都要处理 10 万亿的测试输入。其中,有 47 个项目早已整合了 Fuzz。Google 表示:“ OSS-Fuzz 已经在几个关键开源项目中找到了多个安全漏洞 ”。 其中,FreeType 2(10 个)、FFmpeg(17 个)、LibreOffice(33 个)、SQLite 3(8 个)、GnuTLS(10 个)、PCRE2(25 个)、gRPC(9 个)、Wireshark(7 个)。此外,OSS-Fuzz 还与另一个独立安全研究工具碰上了同一个 bug,它就是 CVE-2017-2801 。 据该公司所述,当某个项目集成 OSS-Fuzz 之后,后续它会自动抓取问题且几个小时后回溯至上游资源库,从而将用户受影响的可能性尽可能降低。Google 还称,OSS-Fuzz 已经报告超过 300 次超时和内存不足失败,其中有 3/4 已被修复。 稿源:据 cnBeta,封面源自网络

Google 安全专家在线公布 Windows 远程代码执行漏洞

据报道,Google Project Zero 研究员 Tavis Ormandy 和 Natalie Silvanovich 在线公布一个 “ 非常糟糕 ” 的 RCE 漏洞,但并未披露细节和风险:“ 我们可能发现了近期内最糟糕的 Windows 远程代码执行漏洞,攻击者们不需要处于同一局域网中就可静默安装,这简直是一个虫洞 ”。 目前,微软尚未就此事作出回应,但该公司至少有 90 天的时间窗口开发修复补丁。如果他们在未来 3 个月内未能成功修复,那两位研究人员将会把漏洞详情公布在互联网中,这是 Google Project Zero 项目的一贯政策。其实,这并非 Google 安全研究人员首次(及近期)在微软产品中发现的漏洞,此前 Google 也曾在“ 超期 ”后强行曝光其它漏洞详情,比如今年 2 月份时曝光的某个微软浏览器漏洞。 尽管微软在上一个 “ 补丁星期二 ” (5 月 2 日)中进行了修复,但还是对 Google 披露漏洞(公开披露漏洞详情)行为表示不满,指责该举措将致使成千上万的 Windows 用户处于风险之中。此外,至于微软能否在 5 月 10 日修复上周曝光的漏洞,目前仍有待观察。 稿源:cnBeta,封面源自网络

英特尔芯片漏洞比想象中更严重:控制计算机无需密码

英特尔芯片出现一个远程劫持漏洞,它潜伏了 7 年之久。本月 5 日,一名科技分析师刊文称,漏洞比想象的严重得多,黑客利用漏洞可以获得大量计算机的控制权,不需要输入密码。 英特尔主动管理技术(AMT)功能允许系统管理者通过远程连接执行多种繁重的任务,包括:改变启动计算机代码、接入鼠标键盘和显示器、加载并执行程序、通过远程方式启动设备等。 许多 vPro 处理器都支持 AMT 技术,如果想通过浏览器界面远程使用它必须输入密码,然而,英特尔的验证机制输入任何文本串(或者连文本都不要)都可以绕过。Tenable Network Security 刊发博客文章称,访问认证时系统会用加密哈希值(cryptographic hash)验证身份,然后才授权登录,不过这些哈希值可以是任何东西,甚至连文字串都不需要。Tenable 逆向工程主管卡罗斯·佩雷兹(Carlos Perez)指出,即使输入错误的哈希值也可以获得授权。 还有更糟糕的地方。一般来说,没有获得验证的访问无法登录 PC,因为 AMT 必须直接访问计算机的网络硬件。当 AMT 启用时,所有网络数据包会重新定向,传到英特尔管理引擎(Intel Management Engine),然后由管理引擎传到 AMT。这些数据包完全绕开了操作系统。 Embedi 是一家安全公司,英特尔认为它是首先发现漏洞的公司,Embedi 技术分析师也得出了相同的结论并以邮件形式将分析结果发给记者,未在网上公布。英特尔表示,预计 PC 制造商在本周就会发布补丁。新补丁会以英特尔固件的形式升级,也就是说每一块存在漏洞的芯片都要刷新固件。与此同时,英特尔鼓励客户下载并运行检查工具,诊断计算机是否存在漏洞。如果工具给出正面结果,说明系统暂时是安全的,安装补丁才能真正安全。富士通、惠普、联想等公司也针对特殊机型发出警告。 稿源:cnBeta 节选,封面源自网络

黑客利用 SS7 协议漏洞窃取德国 O2-Telefonica 公司银行账户资金

据外媒 4 日报道,德国 O2-Telefonica 公司向 SüddeutscheZeitung 机构证实,攻击者利用 SS7 协议漏洞绕过 SFA 认证机制网络劫持银行账户资金。 SS7( 7 号信令系统)是 20 世纪 70 年代末以来电信公司一直使用的一组协议,可使数据传输安全畅通、无泄露。而 SS7 协议漏洞则允许黑客通过重定向来电进行手机定位、发送短信至目标设备。 据悉,攻击者在利用 SS7 协议漏洞展开攻击时可绕过常见 Web 服务(例如 Facebook,WhatsApp )的用户身份验证流程。 2014 年 12 月,德国研究人员在 Chaos Communication Hacker Congress 上透露,多数移动通信运营商使用的协议均存在严重安全隐患。尽管电信公司对其安全保障投入巨资,但使用此类漏洞协议显然导致客户面临严重的隐私泄露与安全风险问题。 网络如何确定用户位置? 德国研究人员托比亚斯表示,网络能够根据基站信号较为准确地判断用户位置。尽管运营商管理信息的访问权限受限于网络技术操作,但通过全球 SS7 网络可发送任意语音通话与短消息至用户移动设备。 调查表明,黑客常在以往发生过的安全问题上大做文章,其中不乏 2014 年 4 月那起据称与俄罗斯黑客有关的 NKRZI 系统(乌克兰国家通信与信息化管理委员会)遭受入侵事件。专家注意到,许多乌克兰移动设备持有者已被源自俄罗斯的 SS7 数据包跟踪并窃取信息。 目前,安全专家正在紧密观察这起利用 SS7 协议漏洞窃取银行账户信息的前所未有的大规模黑客活动。经多方面来源证实,黑客在过去几个月内一直使用该种技术展开攻击活动。 据悉,黑客利用德国银行交易认证号码双因素认证系统发送垃圾邮件:首先在银行客户 PC 端传播恶意软件以收集财务信息(包括银行帐户余额、登录凭据与手机号码等);再通过购买恶意电信供应商的访问权限重定向受害者手机号码并对其进行控制;最后登录受害人银行帐户、利用SS7协议漏洞访问帐户并授权进行欺诈性交易。 用 Diameter 协议替代 SS7 协议? 电信专家提出在 5G 网络上利用 Diameter 协议替换 SS7 协议。不幸的是,该协议同样受到若干重要安全漏洞影响,其中包括缺乏对 IPsec 协议的强制执行等。 专家团队曾于去年进行多次测试并在由某全球移动运营商建立的测试网络上进行攻击仿真以评估连接至 LTE 网络的用户受攻击状态。在测试中,安全专家向来自芬兰的英国用户发起网络攻击并发现多种中断用户服务的方法,甚至能够临时或永久关闭整个地区范围内的所有用户连接。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

英特尔修复潜藏 10 年的芯片远程代码执行漏洞(高危)

近十年来,英特尔处理器随附的远程管理功能潜藏着一个关键漏洞,能允许攻击者完全控制不安全网络上的计算机设备。目前官方已释出补丁修复了这一芯片远程代码执行漏洞。 英特尔在其安全公告中将漏洞评级为“高危”,可允许无特权攻击者控制服务器上的可管理性功能。漏洞存在于英特尔主动管理技术(AMT),标准管理(ISM)和小型企业技术(SBT)当中,涉及版本号 6.x,7.x,8.x 9.x,10 .x,11.0,11.5 和 11.6。 官方特别给出了两个例子: ○ 无特权网络攻击者可通过英特尔管理功能来获得系统权限,影响以下 SKU —— AMT、ISM、SBT(CVSSv3 9.8 Critical /AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。 ○ 无特权本地攻击者可通过英特尔管理功能来获得获得网络或本地系统权限,其影响以下 SKU —— AMT、ISM、SBT(CVSSv3 8.4 High /AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。 英特尔官方表示,这一漏洞将会影响 2008 年至 2017 年推出的许多芯片,不过这并不意味着 2008 年以来的每个因特尔系统都能被黑客接管,因为大多数系统并不附带或者并未使用 AMT 等技术,目前也没有迹象表明这一漏洞允许在 ME 上执行任意代码,基于 Intel 的消费者 PC 上更不存在此漏洞。 但由于许多受影响的设备不再从其制造商接收固件更新,这一漏洞将造成广泛且持久影响。   自我诊断四步走: 1、确定系统中是否拥有英特尔 AMT、SBA 或支持英特尔 ISM 功能: https://communities.intel.com/docs/DOC-5693 如果您确定系统中没有 AMT、SBA 或 ISM,则无需采取下一步措施。 2:利用“检测指南”来评估系统是否具有受影响的固件: https://downloadcenter.intel.com/download/26755 如果你拥有的固件标记在“已解决”一列,则无需采取下一步措施。 3:固件更新。目前可修复的固件四位内置版本号均以“3”开头(如 XXXX.3XXX) 4:如果您的OEM无法使用固件更新,这份文档将提供缓解措施: https://downloadcenter.intel.com/download/26754 更多漏洞情报欢迎关注 HackerNews.cc,我们将为您追踪事件最新进展。 本文据 arstechnica、dreamwidth 编译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

雅虎为 Flickr 帐户劫持漏洞猎手授予 7,000 美元赏金

雅虎为 Flickr 帐户劫持漏洞猎手 Michael Reizelman 授予 7,000 美元赏金。 Reizelman 是一位颇受欢迎的漏洞猎手,善于挖掘 Badoo、Dropbox、GitHub、Google、Imgur、Slack、Twitter 与 Uber 等多种网络服务漏洞。他在不久前发现,如果将存在于雅虎图像与视频托管服务的三个漏洞配合使用可成功接管 Flickr 帐户。 Reizelman 发现用户每次登录 Flickr.com 帐户都会被重定向至 login.yahoo.com 域进行身份验证。如果用户已登录,就会在后台被重定向至 login.yahoo.com。此外,login.yahoo.com 请求用于获取用户访问令牌。 据悉,Reizelman 最初在 flickr.com 搜索开放式重定向漏洞并加以利用,但以失败告终。随后,他设计出另一种漏洞利用方法,即通过使用 <img> 标签将受攻击者控制的服务器存储图像文件嵌入 Flickr.com 页面。调查表明,黑客在攻击过程中必须诱导用户点击特制链接以获取访问令牌并接管受害者 Flickr 帐户。 Reizelman 于 4 月 2 日发现与报告该漏洞,并因此获取 7,000 美元赏金。据悉,雅虎公司通过 HackerOne 执行漏洞赏金计划。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

GE MultilinSR 继电保护器关键漏洞威胁电网安全

近日,纽约大学安全专家发现 GE MultilinSR 继电保护器存在关键漏洞, 可绕过认证机制控制设备随意切断电网,这一关键漏洞或对全球电网构成严重威胁。目前美国 ICS-CERT 已发布针对 CVE-2017-7095 的漏洞预警。 专家表示攻击者可通过暴力破解从前面板或 Modbus 命令获取用户密码,未经授权即可访问 GE MultilinSR 系列继电保护器产品。消息显示,专家将于拉斯维加斯即将举行的黑帽大会上进一步披露漏洞相关细节并进行现场演示,他们期待研究成果能对国家电网产生重大影响。 以下是 GE Multilin SR继电保护器受漏洞影响版本: 750 馈线继电保护器,7.47 之前固件版本, 760 馈线继电保护器,7.47 之前固件版本 469 电机继电保护器,5.23 之前固件版本 489 发电机继电保护器,4.06 之前固件版本 745 变压器继电保护器,5.23 之前固件版本 369 电机继电保护器,所有固件版本。 目前 GE 官方已及时发布固件更新,并修复了大部分上述产品的漏洞。369 电机继电保护器的固件更新预计将在今年 6 月发布。 原作者:Pierluigi Paganini,译者:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

现代 BlueLink 系统被曝存安全漏洞,车辆可被远程控制

4 月 25 日,据美国《汽车新闻》( Automotive News )最新消息称,一家名为 Rapid7 的网络安全公司 “ 状告 ” 现代汽车,称其拥有的 Blue Link 智能手机应用存在安全漏洞,使得黑客能够远程控制现代公司的汽车。对此,现代方面正式确认了这个漏洞的存在,并表示已经于 3 月底修复了这个问题。 据了解,去年 12 月 8 日,现代汽车对车载系统 Blue Link 升级,但新系统存在的安全漏洞却使得黑客有了可趁之机。“ 黑客首先对目标车辆定位,然后就可以通过该漏洞完成对汽车的解锁和启动。” 据 Rapid7 公司网络安全主管 Tod Beardsley 解释道。如今,现代汽车不仅承认了该问题,并随后在 3 月初为安卓系统和苹果系统都提出解决方案。幸运的是,据现代汽车北美发言人 Jim Trainor 表示,截至目前,该系统漏洞并未对车主的财产及人身安全造成直接威胁。 针对于类似现代汽车 Blue Link 携带的安全漏洞,Tod Beardsley 认为车辆还仅仅是小偷的目标,车主的个人信息,包括姓名、地址、导航信息、记录数据、APP密码等也都可能成为其囊中之物。 事实上,现代汽车已经不是第一家因为车载系统安全漏洞遭到 “ 指责 ” 的汽车制造商。2015年,通用汽车公司曾在其OnStar(安吉星)汽车通信系统中修复了一个类似的漏洞,该漏洞有可能致使黑客攻击汽车。而菲亚特克莱斯勒则为此付出了实际的 “ 代价 ”:2015 年,由于存在车载系统安全漏洞,黑客可以在 Jeep 高速行驶的状态下远程控制汽车,导致最终 140 万辆汽车在美国面临召回。 稿源:搜狐sohu 内容节选;封面源自网络

iOS 再现“漏洞”这样操作控制中心设备会崩溃

iOS 系统中有时会冒出奇奇怪怪的漏洞。在这些漏洞的基础上,只要用户进行某些操作,设备就会崩溃或者重启。最近又有用户在 iOS 中发现了这样的 “ 漏洞 ”,这个漏洞会导致设备停止响应并重启。不过在这里要提醒用户的是,对于苹果修复这个“漏洞”不要抱太大的希望。 意大利网站 AmiciApple 表示,在最新的 iOS 10.3.2 测试版中这个“ 漏洞 ”仍可用。用户只要调出控制中心,然后同时选择 Night Shift、AirDrop 以及控制中心最后一栏的任意一项(闹钟、计算器或相机),设备就会死机,几秒钟之后它会自动重启,恢复正常。如果没有自动重启的话,用户也可以手动重启。 iOS 系统中出现过不少类似的漏洞。2015 年就有网友曝光 iOS 上存在一个漏洞,只要一条“ Effective Power ”信息就能让你的 iPhone 死机。这也快被网友们玩坏了,纷纷给自己的 iPhone 朋友发这条短信,让对方的手机进入死机状态。 目前有很多网友发现了这些错误“杀死”iPhone 及 iPad 的方法,但是我们在这里提醒大家:请勿模仿,恶意利用系统漏洞令别人的装置不能使用有可能违反某些地区的法律法规。 稿源:cnBeta、威锋网  ;封面源自网络

新型钓鱼手段预警:你看到的 аррӏе.com 真是苹果官网?

研究人员发现一种“几乎无法检测”的新型钓鱼攻击,就连最细心的网民也难以辨别。黑客可通过利用已知漏洞在 Chrome、Firefox 与 Opera 浏览器中伪造显示合法网站域名(例如:苹果、谷歌或亚马逊等),窃取登录或金融凭证等敏感信息。 说到辨别钓鱼网站的最佳方式,我们最先想到的是检查地址栏并查看网址是否已开启 HTTPS,然而,如果浏览器地址栏显示的是“www.аррӏе.com”,你是不是 100% 确信它是苹果官网呢? △ 网址 www.аррӏе.com 是 Wordfence 安全专家为演示漏洞而创建的欺诈网址,实际为域名“epic.com ”。 Punycode 网络钓鱼攻击 Punycode 是一种供 Web 浏览器将 Unicode 字符转换为支持国际化域名( IDN )系统 ASCII( AZ,0-9 )有限字符集的特殊编码。例如,中文域名 “ 短.co ” 在 Punycode 中表示为“ xn--s7y.co ”。通常情况下,多数 Web 浏览器使用“ Punycode ”编码表示 URL 中的 Unicode 字符以防御 Homograph 网络钓鱼攻击。 研究人员表示,上图演示的漏洞依赖于 Web 浏览器仅将一种语言的 Punycode URL 作为 Unicode 的事实(如仅限中文或仅限日文),而对于域名包含多种语言字符的情况则无效。这一漏洞允许研究人员注册一个在所有存在漏洞的 Web 浏览器(如 Chrome、Firefox 与 Opera )上显示为 “ apple.com ” 的域名 xn—80ak6aa92e.com ,并绕过保护措施。 换句话说,你以为看到的是苹果官网 “apple.com”,实际上它是网站“xn—80ak6aa92e.com”,也就是“epic.com”。不过,经过小编们的大胆尝试发现,这一钓鱼网址在微信上并不管用。 △ 网址一模一样是吧?然而假网址“www.аррӏе.com” 在微信上不会显示蓝色链接 不过,大家可以放心,IE、Microsoft Edge、Safari、Brave 与 Vivaldi 浏览器上面并不存在这个漏洞。 Google 即将推出补丁,Mozilla 还在路上 据悉,研究人员已于今年 1 月向受影响浏览器厂商(包括 Google 与 Mozilla )报告此问题。目前,Mozilla 仍在讨论解决方案,而 Google 已在 Chrome Canary 59 中修复该漏洞并将于本月末伴随 Chrome Stable 58 发布提供该漏洞的永久性修复补丁。 对此,安全专家建议用户在 Web 浏览器中禁用 Punycode 支持,并对网络钓鱼域名加以识别的做法以暂时缓解此类攻击造成的影响。 Firefox 用户缓解措施(不适用于 Chrome 用户) Firefox 用户可按照以下步骤手动申请临时缓解措施: 1. 在地址栏中输入 about:config,然后按Enter键。 2. 在搜索栏中输入 Punycode; 3. 浏览器设置将显示参数 IDN_show_punycode,通过双击或右键单击选择 Toggle 的方式将值从 false 改为 true。 然而,Chrome 或 Opera 不提供手动禁用 Punycode 网址转换的类似设置,因此 Chrome 用户只能再等几周获取官方发布的浏览器最新版本。 知道创宇 404 安全专家表示,倘若攻击者利用这一漏洞结合钓鱼邮件发至重要企事业单位,很有可能导致重要信息外泄。对此,专家们建议广大网民访问重要网站时选择手动输入网址,不要轻易访问未知网站或电子邮件中提及的任何链接,以防中招。 原作者:Mohit Kumar,译者:青楚,译审:游弋、狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。