分类: 漏洞事件

独立安全评估公司在流行的密码管理器中发现重大安全漏洞

据外媒Softpedia报道,对于那些希望抵御不断增长的攻击数量的计算机用户来说,密码管理器几乎是强制性的,但是最近的研究发现了Windows 10中四个最受欢迎的此类应用程序中的一个重大安全漏洞。 独立安全评估公司(ISE)在Windows 10上对1Password,Dashlane,KeePass和LastPass 进行了安全审计,结果令人担忧。所有这些都将主密码以明文形式保存在PC内存中,这意味着有权访问计算机的黑客可以轻松读取,然后访问存储在密码管理器中的所有数据。主密码是密码管理器用来保护应用程序的密钥,用户在解锁时需要提供密码。 安全研究人员发现,只要密码管理器本身处于锁定状态,该主密码就会以明文形式保留在设备的内存中。这意味着密码管理器已经启动,解锁,然后出于安全原因自动锁定。 “使用专有的逆向工程工具,ISE分析师能够快速评估密码管理器在锁定状态下对密码的处理。ISE发现标准内存取证可用于提取主密码及其应该保护的密码,“研究人员解释说。重要的是要知道从PC内存中读取主密码需要访问设备,无论是物理还是远程。 此外,该报告还强调,尽管此处发现了明显的安全风险,但仍建议使用密码管理器,因为它们会针对依赖弱密码的典型攻击添加额外的保护层。虽然ISE建议人员改进密码管理器清理内存的方式,但用户应避免将密码管理器保持在其设备上的锁定状态。 了解更多: https://www.securityevaluators.com/casestudies/password-manager-hacking/     (稿源:cnBeta,封面源自网络。)

白帽黑客展示了内置 Wi-Fi 芯片的恶意 Lightning 数据线

一名黑客利用一个隐藏的Wi-Fi芯片开发了一种验证概念的Lightning数据线,以说明不受信任的附件可能带来的威胁,该芯片可以让黑客获得对Mac的控制权。这种绰号“O.MG Cable”的Lightning数据线,与苹果自己的官方产品非常相似。据其创建者称,当连接时,它可以传递和触发代码有效负载,甚至可能重新刷新系统。 在一段中,通过iPhone Web界面远程控制的数据线显示在Mac上打开一个网络钓鱼,然后打开O.MG项目页面。 了解更多: http://mg.lol/blog/omg-cable/ 实际上,大多数人不太可能遭遇恶意Lightning数据线窃听风险,因为他们直接从苹果或MFI认证的供应商那里购买。O.MG技术似乎还要求攻击者在本地Wi-Fi范围内,这对大多数黑帽黑客来说也没有什么用处。但是可以想象,某些类似技术可以用于政治或企业间谍活动。   (稿源:cnBeta,封面源自网络。)

研究:小米电动滑板车有漏洞 可无需身份验证远程访问

据美国科技媒体CNET援引安全研究组织Zimperium周二发布的研究报道称,小米型号为M365的电动滑板车存在漏洞,可能会让黑客远程控制该滑板车,比如导致滑板车突然加速或突然刹车。小米的这款滑板车于去年引入美国数个城市,为一些共享电动滑板车公司所用。Zimperium认为,问题出在滑板车的密码验证过程中,该验证通过蓝牙通信完成。 “在我们的研究过程中,我们认为,密码在验证过程中未被正确使用,所有命令都可以绕过密码执行,”Zimperium在声明中写道,“密码仅在应用端验证,但滑板车本身不跟踪身份验证状态。” 研究人员称,他们可以无需验证地与设备的防盗系统、导航系统和生态模式进行互动,并更新设备固件。 Zimperium还发布了一则概念验证,演示其应用扫描附近的小米滑板车后,通过他们的防盗功能禁用车辆。Zimperium称,应用对任何100米半径范围内的M365滑板车有效。 该漏洞进一步增加了人们对可出租电动滑板车的担忧。随着这些滑板车陆续出现在各大美国城市以及监管机构匆忙出台法律应对这一新的交通模式,围绕这一设备的争议越来越大。不少人认为,他们更愿意在拥堵的城市间骑着滑板车穿梭于各个街区。反对者认为,骑手通常无视交通规则,在人行道上行使,从而危害行人安全,并且随意停放车辆。 Zimperium发现的这个漏洞与2017年Segway悬浮滑板上发现的漏洞类似。IOActive发现,其可以通过向蓝牙更新手动向Segway发送命令远程方位悬浮滑板,完全无需身份验证。 Zimperium表示,其已经将该漏洞通知小米。小米暂未立即回复评论请求。     稿源:新浪科技,封面源自网络;

瑞士电子投票系统邀请黑客来寻找漏洞 总奖金达到 15 万美元

瑞士政府在本月晚些时候将测试基于互联网的电子投票系统。瑞士政府表示,在这次测试当中任何能找到系统Bug的人可以获得高达50000瑞士法郎(约合50000美元)的奖金。瑞士政府这次提供的总奖金达到150000瑞士法郎(约150000美元)。 想要参与测试的白帽黑客可以注册“公共入侵测试”(PIT)项目。瑞士邮政系统将在2月24日至3月24日之间进行一次选举测试,这是一次典型的瑞士联邦选举,在此期间,任何注册的白帽黑客都可以自由发现和报告漏洞。 瑞士政府计划在2019年10月前将其电子投票能力扩大到瑞士联邦所有26个州的三分之二。在过去的14年中,该国已经进行了300多次电子投票系统的试验,但现行规则将电子投票的数量限制在全民公投总数的10%和宪法修正案投票总数的30%。然而,电子投票扩张计划遭到了政客们的反对,他们声称目前的电子投票系统不安全,昂贵且容易被黑客入侵。 瑞士政府表示,对于操纵无法检测到的投票,奖金范围从30000至50000瑞士法郎(30000至50000美元)不等,如果审计员能够检测到操纵,奖金将降至20000瑞士法郎(20000美元)。这次测试当中,黑客最低可以获得100瑞士法郎(100美元)的奖金。 瑞士法律保证每个瑞士公民都有投票权,无论他们目前是否居住在该国。此前,海外公民一直在推动电子投票,他们认为邮寄选票的方式经常被延迟,让投票变得不可靠。投票行为在瑞士常见,瑞士的直接民主制度意味着,仅在过去两年就有十几次国家级投票。   稿源:cnBeta,封面源自网络;  

WordPress 曝出插件漏洞 允许任何用户接管网站

使用 WordPress 管理其网站的用户,很可能在其中一个插件中,找到近期曝光的那个安全漏洞。一名来自 WebARX 的安全研究人员,刚刚发现了“简易社交分享按钮”(Simple Social Buttons)插件的一个缺陷。该插件旨在方便网站管理员在文章、评论、或网站的其它部分,嵌入 Facebook 或 Twitter 等 SNS 平台的社交分享按钮。 然而最新曝光的漏洞,允许任何能够在上创建新账户的用户,利用它来访问“通常只有管理员才能解除的设置”。换言之,别有用心的攻击者,可以通过该插件来接管网站。 安全研究人员指出,截止目前,WPBrigade 简易社交分享按钮插件的下载量,早已超过 50 万次。WordPress 声称,其已被超过 4 万网站采用。 Simple Social Buttons Exploit PoC by WebARX:https://player.youku.com/embed/XNDA1NzY4NDAwNA== 这意味着平台上搭建的诸多网站,可能已经受到了该漏洞的影响。万幸的是,安全研究人员已于上周向 WordPress 汇报了这个问题,而官方在第二天就已经发布了更新。 当然,为了确保安全,请务必将该插件升级到最新的 2.0.22 版本。   稿源:cnBeta,封面源自网络;

iOS 12.1.4 更新修复严重安全漏洞 但又产生新问题

上周五,苹果发布了旨在修复严重安全漏洞的iOS软件更新12.1.4版本,除了修复 FaceTime群组通话的安全漏洞,还修复了“内存崩溃问题”以及一个获取内核优先权运行恶意代码的安全漏洞,以及实况照片漏洞。但是据许多升级后的用户反映,升级12.1.4版本后引起了SIM卡识别故障,丢失WiFi连接等等网络连接问题。 福布斯也报道了许多用户反应的其它问题,包括12.1.4升级后的iPhone设备AirPods、Touch ID和语音备忘录、蜂窝信号的性能降级,这些用户在升级前从未经历类似的问题。     稿源:cnBeta,封面源自网络;

数据揭示 Windows 漏洞的实际破坏性正在降低

昨天Matt Miller在Blue Hat的演讲中披露了一些惊人的统计数据。根据微软安全响应中心收集的数据,这些数字清楚地证实了我们多年来一直在说的话:与在现实中遭遇破坏的方式相比,将Windows和Office补丁推迟长达30天而受到恶意软件攻击的可能性微乎其微。 他演讲的幻灯片显示了安全漏洞的数量(通过CVE测量)如何突飞猛进 – 漏洞数量在过去五年中翻了一番 – 但实际被披露在外的违背修补的漏洞数量却下降了一半。 这证明了安全社区的侦察能力在提升,此外微软改进的安全功能 – DEP,ASLR和改进的沙盒这些存在技术运行良好。在过去的几年中,分发补丁的30天内,被利用的漏洞只有2%到3%,在补丁可用的30天内发布非零日漏洞的现象现在并不常见。 这意味着恶意软件世界正在变得越来越复杂:坏人要0day漏洞,而不是已经被修补的安全漏洞。   稿源:cnBeta,封面源自网络;

用户投诉美国交友平台 OKCupid 系统漏洞致帐号遭攻击

新浪科技讯 北京时间2月11日早间消息,据美国科技媒体TechCrunch报道,有用户投诉称,自己在美国交友平台OKCupid的帐户被黑客攻击。黑客更改了他的密码,导致他无法登录帐号。此外黑客还修改了资料中的电子邮件地址,使得他也无法重置自己的密码。 用户表示,OKCupid并没有发送邮件让他对信息修改做出确认,而是盲目地接受了更改。 OKCupid客服在回应投诉时表示:“不幸的是,我们无法提供任何未连接到你电子邮件地址的帐号的详情。”随后,黑客还发送奇怪的短信骚扰他。 报道称,这并不是孤立事件,过去几天已有多人表示,他们的OKCupid帐号被黑。 另一名用户最终找回了自己的帐号。他表示:“在两天持续的破坏控制后,OKCupid终于为我重置了帐号。” 一些用户表示,他们无法解释,自己的密码是如何泄露的。他们在OKCupid上使用独有的密码,这些密码没有在其他任何应用或网站上使用。 OKCupid发言人表示:“OKCupid没有发生信息安全事故。所有网站都会面临黑客攻击的尝试,但OKCupid账号被黑客控制的情况并没有增加。” 关于OKCupid计划如何防止未来的黑客攻击,该发言人表示,公司没有进一步的评论。 评论称,对OKCupid这样的平台来说,有效解决这方面问题的一种方式是启用双重认证。但许多主要交友平台,包括Match、PlentyOfFish和Zoosk,都没有启用双重认证。   稿源:新浪科技,封面源自网络;

Powershell 命令行泄漏下一个 Windows 10 更新内容

Windows 10 下一个版本(称为Build 1903或19H1)更新内容,可以通过 PowerShell 的 Get-VMHostSupportedVersion 可以看到。Tero Alhonen 被称为 Windows 侦探(Windows sleuth),他通常会在微软发布新版本之前查找 Windows 的相关信息,他在最新版本的 Windows 10 Insider Build 19H1 版本中使用了 Get-VMHostSupportedVersion 命令,该命令的返回结果很有可能是下一次版本更新的名称。 访问: 微软中国官方商城 – Windows 返回的名称为“Microsoft Windows 10 April 2019 Update/Server 1903”,如下所示。 PowerShell 命令 Get-VMHostSupportedVersion 用于列出主机上支持的所有 Hyper-V 虚拟机配置信息。此命令列出了所有早期版本的 Windows 10,最新版本为“October 2018 Update build 1809”。 此外,该命令也会列出即将发布的 Windows 系统版本,例如在上图中的 April 2019 Update 1903 。 关于即将发布的 Build 1903 ,主要更新将包括以下更新: Windows 沙盒 改进的 Windows 安全功能(如篡改保护) 拆分搜索(splitting of Search)和Cortana 存储保留(Reserved Storage)。     稿源:开源中国,封面源自网络;

物联网火爆背后隐藏的巨大安全风险

伴随着越来越多的美国家庭、企业和政府推进、购买和部署智能设备,而这些价格相对低廉的物联网设备引发了新的安全问题。目前物联网设备规模突破百亿,在营造更舒适、更高效的生活方式同时由于缺乏真正的安全保护,也成为僵尸网络的一员,被黑客劫持参与各种攻击。 根据 The Conversation 制作的预估图表数据显示,2018 年物联网设备规模已经达到70亿台,非物联网设备数量在 108 亿台,而预估 2025 年物联网设备数量将突破至 215 亿台。这些物联网设备涵盖网络摄像头、血压传感器、温度计、麦克风、智能音箱和毛绒玩具等等,这些产品很多都是由不为人知的小型工厂设计生产,通常没有妥善的安全保护。 2016 年 10 月利用僵尸网络对全球网络发起的攻击 这就意味着大量物联网设备存在非常严重且广泛的漏洞,包括使用弱密码、对通信不加密以及不安全的 Web 界面等等。而黑客往往会劫持数千甚至是数十万个遍布全球的设备来发起 DDoS 在内的攻击。如果制造商在特定类型的设备上设置了不可更改的管理密码,黑客就可以在网络上搜索这些设备,在登陆控制和安装自己的恶意程序之后将设备招募到僵尸网络中。   稿源:cnBeta,封面源自网络;