分类: 漏洞事件

苹果正在更新大量 iOS 应用:很可能跟近期出现的一个漏洞有关

据外媒报道,在过去的几个小时时间里,一些MacRumors的读者报告称,他们的iOS设备的App Store出现了几十个甚至上百个正在更新的应用,其中包括用户最近更新的应用。对此,苹果并非提供任何关于会出现这种情况的原因,但一些用户怀疑可能跟最近的“此应用不再与你共享”漏洞有关。 据悉,该漏洞将阻止一些用户启动某些程序,除非他们卸载或删除之后再重新安装才行。 这有可能是过期证书或其他与应用共享的相关证书出现了问题,为了修复这个问题,苹果不得不重新发布这些更新从而使得每个受影响的应用中都能有一个有效的证书。     (稿源:cnBeta,封面源自网络。)

谷歌工程师:七成 Chrome 安全漏洞是内存安全问题,Rust 又成备选语言

近日,有谷歌工程师分析了自 2015 年以来在 Chrome 稳定版分支中修复的 912 个安全错误。并发现,在这些被标记为“高”或“严重”等级的所有安全漏洞中,大约 70% 是内存管理和安全问题。 这其中又有一半是 use-after-free 漏洞。这种安全问题是由对内存指针(地址)的错误管理引起的,为攻击者打开了攻击 Chrome 内部组件的大门。 这一数据恰巧与微软此前的研究结果相同:微软安全响应中心(MSRC)对自 2004 年以来所有报告过的微软安全漏洞进行了分类,所有微软年度补丁中约有 70% 是针对内存安全漏洞的修复程序。 微软安全响应中心曾给出解释,这是因为他们大多数产品使用 C 和 C++ 编写,而这两种编程语言属于“内存不安全”(memory-unsafe)的范畴。管理内存执行的开发人员代码中的一个漏洞可能导致一系列内存安全错误。 谷歌也面临着相似的境地。仅仅从 2019 年 3 月到现在,等级为“严重”的 130 个 Chrome 漏洞中,有 125 个与内存损坏相关,可见内存管理仍然是一个很大的问题。 为此,谷歌工程师必须遵循 “2 的规则”(The Rule of 2)。即每当工程师编写新的 Chrome 特性时,其代码不得破坏以下两个以上的条件: 该代码处理不可信的输入 代码在没有沙箱的情况下运行 代码使用不安全的编程语言(C/C ++)编写 迄今为止,谷歌一直在 Chrome 中尝试使用沙箱方法。他们将数十个进程隔离到自己的沙箱中,最近还推出了“站点隔离”功能,该功能将每个站点的资源也放入自己的沙箱进程中。但谷歌工程师表示,考虑到性能问题,他们使用沙盒化 Chrome 组件的方法已达到最大收益,现在必须寻求新的方法。 因此,谷歌计划研究开发自定义 C++ 库,以与 Chrome 的代码库一起使用,这些库可以更好地保护与内存相关的错误。 与此同时,谷歌还在探索 MiraclePtr 项目,该项目旨在将“use-after-free bug 转变为具有可接受的性能、内存、二进制大小和最小的稳定性影响的非安全崩溃”。 最后,值得注意的一点是,谷歌表示计划在可能的情况下使用“安全”语言进行探索。候选对象包括 Rust、Swift、JavaScript、Kotlin 和 Java。   (稿源:ZDNet,封面源自网络。)

多种 DNS 解析程序被发现漏洞 允许攻击者发动拒绝服务攻击

DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制,它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。 DNS 解析程序不能向“名字”发送域名查询,因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址,之后才能继续查询域名。 NXNSAttack 就是基于这一原理,攻击者发送的委托包含了假的权威服务器名字,指向受害者的 DNS 服务器,迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次,对受害者服务器发动了拒绝服务攻击。 众多 DNS 软件都受到影响,其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文。     (稿源:solidot,封面源自网络。)

苹果蓝牙保护框架 MagicPairing 被爆出 10 个 0day 漏洞未修复

近日,来自德国达姆施塔特大学的研究人员检查了 MagicPairing 协议,发现它的三种实现方式 iOS、macOS 和 RTKIT——在它们之间存在十个公开的缺陷,这些缺陷至今尚未得到解决。 苹果蓝牙保护框架:MagicPairing 协议 MagicPairing 是苹果的一种专有协议,它能够提供无缝的配对功能,例如在用户的 Airpods 和他们所有的苹果设备之间是通过通过苹果的云服务 iCloud 同步键来实现的。MagicPair 协议的最终目标是派生一个蓝牙链路密钥 (LK) ,用于单个设备和 Airpods 之间。为每个连接创建一个新的 LK ,这意味着可以有效地缩短此 LK 的生存期。 当一个新的或重置的一对 Airpods 最初与苹果设备属于 iCloud 帐户,安全简单配对(SSP)被使用,所有后续连接到 iCloud 帐户的 Airpod 和设备将使用作为配对机制的 Magicpair 协议。MagicPair 包含多个键和派生函数。它依赖于综合初始化向量( SIV )模式下的高级加密标准( AES )进行认证加密。 Magic Pairing 的一般逻辑是可以集成到任何基于的物联网生态系统中,从而增加对整个安全社区的相关性。 尽管 MagicPairing 协议克服了蓝牙设备配对的两个缺点:即可扩展性差和易崩溃安全模型缺陷。(如果永久密钥 Link Layer 或 Long-Term Key 受陷则会崩溃。) 但研究人员使用名为 ToothPicker 的代码执行无线模糊测试和进程内模糊测试后发现了 8 个 MagicPairing 和 2 个 L2CAP 漏洞,它们可导致崩溃、CPU 过载且配对设备关联取消。据外媒报道,这些信息是在2019 年 10 月 30 日至 2020 年 3 月 13 日期间披露的,目前尚未确定。 “由于 MagicPair 用于配对和加密前,因此它提供了庞大的零点击无线攻击面。我们发现所有的有不同实施都有不同的问题,包括锁定攻击和可导致百分之百 CPU 负载的拒绝服务。我们在开展通用的无线测试和 iOS 进程内模糊测试时发现了这些问题。” 10 个 0day 漏洞一直未修复,苹果未予置评 那么,这些漏洞本身的威胁来自哪里呢? 首先是蓝牙堆栈本身的安全性。 苹果的每个堆栈都是针对单个设备类型的,并且支持一个特性子集。因此,它们支持的协议有重复的实现。虽然这种情况有助于逆转这些协议,但它增加了苹果公司的维护成本。从安全的角度来看,这会导致在这些堆栈中出现双向安全问题。 例如,RTKit 是一个单独的资源约束嵌入设备框架。用于苹果 AirPods 1、2和 Pro,Siri Remote 2,Apple Pencil 2 和 Smart Keyboard Folio 中,虽然这种分离用来减少功能是有意义的,但 iOS 和 MacOS 也有各自的蓝牙堆栈,由于它们是封闭的,而且只有很少的公开文档。但它在速度上是有限的,不提供覆盖。相比之下,iOS 进程中的模糊处理程序速度更快,不受连接重置的限制,但需要大量的平台专用接口调整。 也就是说,这三个蓝牙堆栈在实际实施中所面临的的攻击和 bug 也会不同。 其次是,零点击无线攻击面大。 Magicpairing 的无线攻击面相当大。首先,它是在配对和加密之前使用的。通过逻辑链路控制和适配协议( L2CAP )提供的 MagicPairing Providesa 连接,用于蓝牙内部的各种数据传输;第二, 通过对 IOS、MacOS、RTKit 的实现,进一步扩大了 MagicPair 攻击面。 最后是代码居然有拼写错误问题。 研究人员发现,苹果在 iOS 和 macOS 中的 MagicPairing 实现的日志信息和 macOS Bluetooth 守护进程 bluetoothd 函数名称中存在大量拼写错误。例如,棘轮和 upload 这两个单词在不同的时间被拼成了 diff。但研究人员认为,由于这些误读随堆栈的不同而不同,每个栈可能是由不同的开发人员实现的。虽然拼写错误和实现中的缺陷之间并不直接相关,但这让人认为代码并未仔细审查,开发工作很可能是外包完成的。 但总的来说,这些漏洞虽然存在,也并未修复,但影响不大。苹果也对此问题未予置评。     (稿源:cnBeta,封面源自网络。)

新的安全漏洞让攻击者伪造出可信的蓝牙外设

据外媒AppleInsider报道,一个研究团队披露了一个新的漏洞,可以让攻击者欺骗现代蓝牙设备,使其与伪装成受信任的恶意设备配对。这个安全漏洞被团队称为蓝牙冒充攻击(BIAS),影响了一系列使用蓝牙的设备,包括iPhone、iPad和Mac。 从本质上说,BIAS攻击利用了蓝牙设备如何处理长期连接的漏洞。当两台蓝牙设备配对后,它们在一个“链接密钥 ”上达成一致,这样它们就可以在不经过配对过程的情况下重新连接到对方。瑞士洛桑联邦理工学院的研究人员发现,他们能够在不知道这个链接密钥的情况下,欺骗之前配对过的设备的蓝牙地址来完成认证过程。 更具体地说,当攻击设备假装是一个只支持单边认证的先前受信任的设备时,该漏洞就会启动–这是蓝牙中最低的安全设置。通常情况下,用户的设备将是验证该连接是否有效的设备。然而,通过使用一种被称为“角色切换”的策略,攻击者可以欺骗认证,并与用户设备建立安全连接。 结合其他蓝牙漏洞,如蓝牙密钥协商(KNOB),攻击者可以破坏在安全认证模式下运行的设备。一旦BIAS攻击成功,被攻击的设备就可以被用来进行其他的利用,包括访问通过蓝牙发送的数据,甚至控制之前配对的设备所拥有的功能。 由于蓝牙连接通常不需要用户进行明确的交互,因此BIAS和KNOB攻击也是隐蔽的,可以在用户不知情的情况下进行。 谁会受到BIAS攻击的威胁? 这个缺陷只影响到蓝牙基本速率/增强数据速率,也就是经典蓝牙。但这仍然使相对较新的苹果设备受到攻击,包括iPhone 8及以上版本、2017年版 MacBook设备及以上版本、2018年的iPad机型及以上版本。 为了实施攻击,不良行为者需要在易受攻击设备的蓝牙范围内,并知道之前配对设备的蓝牙地址。对于一个熟练的攻击者来说,找到这些蓝牙地址相对来说是件小事,即使是随机的。 研究人员已经通知了蓝牙特别兴趣小组(SIG),该小组已经更新了蓝牙核心规范来缓解这一漏洞。苹果和三星等厂商很可能会在不久的将来推出固件或软件补丁,配合修复措施。   (稿源:cnBeta,封面源自网络。)

Edison Mail 爆严重 BUG:同步后可全权访问他人帐号内容

Edison Mail是一款在iPhone、iPad和Mac上比较流行的第三方电子邮件应用,不过近日曝光的一个BUG引起了人们对隐私的极大关注。Edison Mail用户报告称,在该应用中开启新的账户同步功能后,他们可以完全访问其他Edison Mail用户的电子邮件账户。 Edison Mail在给外媒9to5Mac一份声明中表示这个BUG目前只影响iOS用户: 10小时前,我们向少部分iOS用户推出了一个软件更新。在收到这些更新的部分用户遇到了影响邮件账户的应用漏洞,今天早上我们已经注意到了这个漏洞。我们已经迅速回滚了该更新。我们正在联系受影响的Edison Mail用户(仅限于过去10小时内更新并打开应用的用户子集),通知他们。 目前来看,这似乎是一个BUG,而不是安全漏洞。这个问题似乎源于上周在Edison Mail客户端推出的新同步功能。 Zach Knox是Edison Mail的首批用户之一,他今天早上在Twitter上反馈存在这个问题。 我刚刚更新了@Edisonapps Mail,在启用了一个新的同步功能后,一个不是我的邮件账户出现在应用中,我似乎可以完全访问。这是一个重大的安全问题。在没有凭证的情况下访问他人的电子邮件! 我再也不会相信这个应用程序了。   (稿源:cnBeta,封面源自网络。)

库存充足 Zerodium 宣布暂停收买 iOS 漏洞利用

Zerodium 是一个漏洞利用获取平台,旨在向研究人员支付一定的费用来收买零日安全漏洞,然后转手卖给政府和执法机构等客户。然而本周,Zerodium 竟然宣布 —— 由于短期内提交的 iOS 漏洞利用程序太多,其计划在未来 2~3 个月内不再购买此类内容。据悉,Zerodium 专注于高风险的漏洞,通常每个功能完善的 iOS 漏洞利用会被给予 10 万到 200 万美元的奖励。 Zerodium 首席执行官 Chaouki Bekrar 在一条推文中表示,iOS 的安全状况并不如大家所想的那样良好,并指出持续有一些影响所有 iPhone 和 iPad 零日漏洞利用出现。当然,Bekrar 还是希望 iOS 14 能有所改善。 除了 Zerodium 等第三方,苹果也有自己的漏洞赏金计划。若发现 iOS、iPadOS、macOS、tvOS 或 watchOS 中的安全漏洞,将被给予 5000 到 100 万美元的奖励。   (稿源:cnBeta,封面源自网络。)

2019 年之前生产的任何 PC 都易受到“Thunderspy”攻击

埃因霍温科技大学的安全研究员 Björn Ruytenberg 透露,由于常用的 Thunderbolt 端口存在缺陷,2019 年之前生产的所有 PC 都可能遭到黑客入侵。 即使 PC 处于睡眠模式或处于锁定状态,这一被称为 Thunderbspy 的攻击也可以从用户的 PC 读取和复制所有数据。此外,它还可以从加密驱动器中窃取数据。 Thunderspy 属于 evil-maid 攻击类别,这意味着它需要对设备进行物理访问才能对其进行攻击,因此与可以远程执行的其他攻击相比,它的利用程度较低。但是另一方面,Thunderspy 还是一种隐身攻击,在成功执行入侵之后,犯罪分子几乎不会留下任何利用的痕迹。 事实上,早在 2019 年 2 月,一群安全研究人员就发现了一个与 Thunderspy 类似的相关入侵事件 Thunderclap。同年,英特尔发布了一种可以防止 Thunderspy 攻击的安全机制,称为内核 DMA 保护(Kernel Direct Memory Access Protection)。 不过该机制在较早的配置中未实现,这也就是在 2019 年之前生产的计算机更易受到影响的原因。但有趣的是,当苹果 MacOS 笔记本启动到 Bootcamp 时,所有的 Thunderbolt 安全都会被禁用。 Ruytenberg 指出,所有在 2011-2020 年之间出货的、配备 Thunderbolt 的设备都容易受到攻击。自 2019 年以来已交付的提供内核 DMA 保护的设备,也都在一定程度上易受攻击。 Thunderspy 漏洞无法在软件中修复,会影响到未来的 USB 4 和 Thunderbolt 4 等标准,最终将需要对芯片进行重新设计。     (稿源:开源中国,封面源自网络。)

存在于自 2014 年以来所有三星手机中的高危漏洞终于被修复

三星本周发布了一个安全更新,修复了自2014年以来一直存在于旗下所有智能手机中的关键漏洞。该漏洞最早可以追溯到2014年下半年,三星开始在所有发布的设备中引入了对自定义Qmage图像格式(.qmg)的支持,而三星的定制Android系统在处理该图像格式上存在漏洞。 视频连接:https://www.cnbeta.com/articles/tech/975843.htm 谷歌Project Zero的安全研究员Mateusz Jurczyk发现了一种利用Skia(Android图形库)来处理发送到设备上的Qmage图像的方法。Jurczyk表示,这个Qmage漏洞能在零点击的情况下被利用,不需要用户之间的互动。所以能在用户不知情的情况下,将所有发送到设备上的图片重定向到Skia库中进行处理–比如生成缩略图预览等。 研究人员开发了一个针对三星信息应用的概念验证演示,利用该漏洞可以窃取短信和彩信。Jurczyk说,他通过向三星设备重复发送MMS(多媒体短信)信息来利用这个漏洞。每条消息都试图猜测Skia库在Android手机内存中的位置,这是绕过Android的ASLR(地址空间布局随机化)保护的必要操作。 Jurczyk表示,一旦Skia库在内存中的位置被确定,最后一条彩信就会传递出实际的Qmage有效载荷,然后在设备上执行攻击者的代码。这位谷歌的研究人员表示,攻击者通常需要50到300条彩信来探测和绕过ASLR,这通常需要平均100分钟左右的时间。 此外,Jurczyk表示,虽然这种攻击看起来可能很密集,但也可以修改后在不提醒用户的情况下执行。这位谷歌研究人员说:“我已经找到了让彩信消息完全处理的方法,而不触发Android上的通知声音,所以完全隐身攻击可能是可能的。” 此外,Jurczyk表示,虽然他没有测试过通过彩信和三星信息应用之外的其他方法来利用Qmage漏洞,但理论上来说,针对三星手机上运行的任何能够接收到远程攻击者提供的Qmage图像的应用,都有可能被利用。 研究人员在2月份发现了该漏洞,并向三星报告了该问题。这家韩国手机制造商在5月的2020年安全更新中对该漏洞进行了补丁。该漏洞在三星安全公告中被追踪为SVE-2020-16747,在Mitre CVE数据库中被追踪为CVE-2020-8899。   (稿源:cnBeta,封面源自网络。)

法国“白帽”黑客:印度政府的定位程序存漏洞 9000 万人隐私受威胁

北京时间5月6日消息,一位化名为奥尔德森(Elliot Alderson)的法国黑客日前在Twitter上表示,其发现了印度政府“Aarogya Setu”新型冠状病毒追踪APP的安全问题,这可能会危及9000万印度人的隐私。作为一名有良心的黑客,奥尔德森已经将这个问题“标记”发送至印度计算机应急响应小组(CERT)和隶属于印度电子和信息技术部的国家信息中心(NIC)。 奥尔德森早先还曝光了印度政府“mAadhar”安卓应用程序的问题。 周二,奥尔德森在Twitter上声称,他发现了Aarogya Setu应用程序的一个安全问题,并要求印度政府私下联系他,以便向当局详细披露。印度政府很快联系了这名黑客,了解相关情况。奥尔德森现在正在等待这一问题的解决方案,如果印度政府解决不了,那么按照“白帽”黑客的核心原则,他将公开披露这一问题。 印度政府确实在昨晚凌晨对黑客的推特做出了详细的回应。但奥尔德森仍在等待政府出手修复,用他的话来说,印度政府的回应基本上是“(这里)没什么问题啊”。换句话说,按照印度政府的说法,Aarogya Setu一切正常。 Aarogya Setu的制作者回应称:“这位黑客没有证明用户的个人信息处于危险之中。我们一直在测试和升级该系统。Aarogya Setu团队向所有人保证,没有发现任何数据或安全漏洞。” 奥尔德森已经在推特上宣布,若这个问题得不到修复,他将于今天公布更多信息。 与此同时,奥尔德森不是唯一一个在隐私方面向Aarogya Setu提出警告的人。位于新德里的软件自由法律中心(Software Freedom Law Centre)声称,这个应用程序会收集如性别和旅行记录等敏感的用户数据。互联网自由基金会(IFF)也宣称Aarogya Setu缺乏透明度。 这类问题特别严重,需要深入研究,因为即使Aarogya Setu看起来是一个“自愿安装”的应用程序,但它每天都在变得越来越“强制”。按照印度警方的最新要求,在诺伊达和大诺伊达这些地方如果没有在手机上安装这个程序,甚至会面临处罚。 印度政府还要求公共和私营部门雇员把它安装在智能手机上。印度内政部最近的一项指令要求:“所有员工都必须使用Aarogya Setu应用程序,包括私人部门和公共部门的员工。各机构负责人有责任确保该应用程序在员工中的覆盖率达到100%。”所以可以说,Aarogya Setu已经是印度中央政府雇员以及居住在隔离区居民的必装软件。   (稿源:凤凰网科技,封面源自网络。)