分类: 漏洞事件

研究人员发现 4G 漏洞:可窥探信息跟踪用户发送虚假警报

大学研究人员发现了一系列新的网络攻击,该网络攻击主要利用了4G LTE 网络协议中存在的漏洞,来进行监视呼叫和信息、设备脱机、跟踪用户位置并发送虚假警报等 10 种攻击。研究人员使用了一种名为 LTEInspector 的测试方法来进行实验,并在美国四大运营商网络中确认了 8 种,而受到攻击的大部分原因在于,协议信息中缺乏适当的认证,加密和重播保护。 任何人都可利用常见设备和开源 4G LTE 协议软件发起上述这些攻击。 以最为显著的中继攻击为例,它能够让攻击者冒充受害者的电话号码连接到网络,或在核心网络中追踪受害者设备的位置,从而在刑事调查期间设置虚假的不在场信息或种植假证据。 尽管目前 5G 风口正在到来,但离真正普及还需一段时间,近 2 年内 4G LTE 仍是主流,这意味着这些漏洞攻击还将持续很长时间。 稿源:cnBeta、TechWeb,封面源自网络

微软发布 KB4090007 更新 进一步缓解 Spectre 和 Meltdown 漏洞影响

在今天更新的博文中,微软再次宣布了 Spectre 和 Meltdown 漏洞修复补丁,同时包含系统修复和全新的固件更新。目前微软已经为 32 位 Windows 10 系统发布了补丁,并且仍在努力及时为其他尚处于支持状态的版本提供更新。 上周英特尔发布了第 6/7/8 代芯片的微代码,微软宣布今天开始用户可以通过 Update Catalog 下载 Skylake(第六代)微代码。本次更新为 KB4090007,微软强调会继续跟进英特尔发布的微代码。虽然,Spectre 和 Meltdown 两个漏洞没有立即修复,但是随着时间的推移正逐渐减轻。 稿源:cnBeta,封面源自网络;

Intel 终于发布四五代酷睿漏洞补丁:稳定不重启

Spectre 幽灵、Meltdown 熔断漏洞近来把 Intel 搞得焦头烂额,因为近些年的产品集体存在,需要逐一修补,工作量之大着实罕见,期间还出现了打补丁后频繁重启的翻车现象。在此之前,Intel 已经向六代酷睿 Skylake、七代酷睿 Kaby Lake、八代酷睿 Coffee Lake 家族已经发烧级的 Core X 系列推送了这两个漏洞的修复补丁,并解决了频繁重启问题。 Spectre 幽灵漏洞其实有两个版本,CVE-2017-5715 可以通过软件更新解决,CVE-2017-5053 则必须进行硬件级修补,七八代酷睿已经补好了。 现在,Intel 又向四代酷睿 Haswell、五代酷睿 Broadwell 家族发放了修补第二个 Spectre 漏洞的补丁,并且强调是个稳定补丁,也就是说应该不会导致重启。 Haswell 最早是在 2013 年发布的,次年进行了一次提速升级,故而产品特别多。 Broadwell 则是 2015 年的产品,但大部分都是移动平台,桌面上仅有两款,因此影响相对较小。 稿源:cnBeta、快科技,封面源自网络;

英特尔信件揭示为何隐藏其芯片设计缺陷

外媒 2 月 23 日消息,英特尔以及其他六家公司(亚马逊、AMD、苹果、ARM、谷歌、微软)向美国国会发送的信件揭示了他们为何不向世界其他国家披露其芯片设计缺陷。根据之前的报道,这些芯片广泛受到 Meltdown (熔毁)和 Spectre (幽灵)漏洞的影响。 美国众议院能源和商业委员会的共和党成员曾在一月份致函这七家公司,以寻求他们不披露这些缺陷的原因以及他们是否认为自己的行为是安全和负责任的。此外,由于这些芯片设计缺陷影响非常严重,以至于美国国会议员坚持要求这七家公司给出合理的解释。 目前来看,英特尔给出的信件似乎是最具信息量的,因为它揭示了在漏洞披露之前,英特尔只向可以帮助其提高技术用户安全性的公司透露有关 Spectre 和 Meltdown 的信息,发现漏洞的 Project Zero 方面也将其 90 天的漏洞公开截止日期延长至 2018 年 1 月以协助漏洞修复。一旦漏洞消息被传出,英特尔就会加快部署缓解措施的计划,并及时向各国政府进行通报 。 英特尔称其是在考虑了“ CERT 协调漏洞披露指南 ”、“ 常见漏洞和暴露(CVE)编号权限规则 ”、“ 事件响应安全团队常见漏洞评分系统论坛 ” 之后制定了这一应急方案。然而因 The Register 等博客的提前曝光使英特尔原定计划被打乱。 此外,该信还显示:“ 今年晚些时候,英特尔将在其产品中引入新的硬件设计更改,以解决诸如 Spectre 和 Meltdown 等漏洞。 不过其他公司的信件大多指出 Spectre 和 Meltdown 是英特尔的问题。 例如,微软公司表示虽然知道漏洞的修复程序会破坏一些反病毒软件,并也提前警告这些产品的供应商,但是不能告诉他们为什么会因为担心 Meltdown 和 Specter 的消息泄漏而进行修改。 而 ARM 公司则称在 Meltdown 和 Specter之前, ARM 并没有参与多方协调的漏洞披露。 亚马逊方面表示他们将集中精力在为 Linux 操作系统和 Xen 管理程序开发对策。 消息来源:TheRegister,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

趋势科技电子邮件加密网关曝多项安全漏洞,可获得 root 权限执行任意代码

外媒 2 月 25 日消息,Core Security 发现趋势科技基于 Linux 的电子邮件加密网关的 Web 控制台中存在多个安全漏洞( CVE-2018-6219 ~ CVE-2018-6230),其中一些被评为严重等级的漏洞能够允许未经身份验证的远程攻击者以root权限执行任意命令。目前受影响的软件包是趋势科技电子邮件加密网关 5.5 (Build 1111.00)及更早版本。 在这些漏洞中,最严重的是 CVE-2018-6223,可能会被本地或远程攻击者利用来获得目标设备的 root 权限,以便于执行任意命令。目前来说,该漏洞与设备注册时缺少身份验证有关。 具体细节为:管理员在部署过程中需要通过注册端点配置运行电子邮件加密网关的虚拟设备, 于是攻击者可以利用该漏洞在没有身份验证的情况下访问端点,以设置管理员凭据并对配置进行其他更改,比如管理员用户名和密码等。 据悉,Core Security 还发现了两个严重的跨站脚本攻击(XSS)漏洞,一个可导致命令执行的任意文件写入问题,另一个则导致命令执行的任意日志文件位置以及未验证的软件更新。除此之外,趋势科技的电子邮件加密网关也包括了 SQL 和 XML 外部实体(XXE)注入等漏洞。 目前趋势科技确认,由于实施修复程序的困难,中等严重性 CSRF 问题和低严重性 SQL 注入漏洞尚未得到修补。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

AMD 因处理器 Spectre 漏洞遭遇多起集体诉讼

年初全面曝光的“幽灵”(Spectre)和“熔毁”(Meltdown)这两个处理器漏洞,让整个芯片行业都笼罩在了不被信任的乌云中。其中最受影响的英特尔,当前已面临着 30 余起诉讼。尽管 AMD 受波及的程度要轻一些,但也还是有客户向该公司提起了诉讼。据 The Register 报道,原告方指责 AMD 在芯片品质上对消费者有误导。 Nathan Barnes 和 Jonathon Caskey 表示: 尽管该公司知晓了 Spectre 缺陷,但还是继续以高于其应有的价格,向不知情的消费者销售处理器。 Brian Speck 在诉 AMD 一案中亦声称: 被告无法或不愿意修复 CPU 中的安全漏洞,或者为原告及其它客户提供一个没有缺陷的 CPU 作为补偿。 固件更新和改动是必须的,而 AMD 推出的软件更新或‘修复’,并未提供针对所有 Spectre 变种的防护。 即便如此,这些‘补丁’也会显著降低 CPU 性能。 此外,Doyun Kin 因为该公司在今年 1 月 11 日、2 月 21 日推出的补救措施对消费者产生的误导而发起了诉讼。该公司在漏洞被披露几天后,才开始为其 CPU 推出固件补丁。 上个月的时候,AMD 在一份致美国证券交易委员会(SEC)的文件中向投资者发出了警示,称该公司面临着与最近披露的旁路漏洞(比如 Spectre 和 Meltdown)有关的索赔或诉讼。 相关阅读: 英特尔一直向美国政府隐瞒漏洞 直到“熔毁”和“幽灵”向公众曝光 稿源:cnBeta,原文编译自:Neowin;封面源自网络

美参议员炮轰 CBP 电子护照系统存在长达十年的漏洞

据外媒报道,过去十年,美国边境检查人员一直未能有效加密地验明入境人员的护照信息,原因是政府没有合适的软件。在写给美国海关与边防局(CBP)代理司长 Kevin K. McAleenan 的信中,参议员 Ron Wyden 和 Claire McCaskill 要求其就此事作出答复。电子护照的芯片中嵌入了包含机器可读文本和加密信息,可以轻松验证护照的真实性和完整性。 自 2007 年引进以来,所有新发放的护照都是电子护照。在免签名单上的 38 个国家的公民,也都必须持有电子护照,才被允许进入美国。 加密信息使得一本护照几乎不可能被伪造,此外也有助于防止身份盗窃。然而参议员在本周四的这封信中指出,边防人员“缺乏验证电子护照芯片的技术能力”: 即便他们已经在大部分入境口岸部署了电子护照阅读器,CBP 依然没有必要的软件,来验证电子护照芯片上存储的信息。 特别是 CBP 无法验证存储在电子护照上的数字签名,这意味着 CBP 无法判断智能芯片上储存的数据是否被篡改或伪造。 令人震惊的是,早在 2010 年的时候,海关和边防部门就已经意识到了这个安全漏洞。 当年,政府问责办公室在一份报告(PDF)中首次点名批评了 CBP 的上级(国土安全部),指责其“在信赖数据之前,还没有实现验证数字签名所必须的全部功能”。 换言之,在国土安全部门堵住疏漏之前,边防人员只得继续依赖缺乏合理保证的系统,被电子护照芯片上可能被伪造的计算机数据给欺骗。 那么,8 年过去了,CBP 是否已经亡羊补牢了呢?遗憾的是,该机构仍不具备在电子护照上验证机器可读数据的技术能力! 新闻炸锅之后,约翰霍普金斯大学密码学讲师 Matthew Green 在一条推文中写到: 如果你持有一本来自免签国家的护照,那么边防人员只会从电子芯片上读取你的照片和旅行信息,而这些数据的可信度是无法保证的。 马修·格林继续评论道: 令人谛笑皆非的是,尽管这种电子护照是美国在经历了 9/11 恐袭后强行向全球推出的,我们却一直未能正确地使用它。 参议员们希望,有关部门可以在明年年初之前,提出一项对电子护照进行适当的身份验证的计划。不过截止发稿时,CBP 的发言人并没有回应媒体的置评请求。 稿源:cnBeta,原文编译自:ZDNet , 来源:Wyden-Security-Letter(PDF)

Google 公布一个 uTorrent 的安全漏洞 官方发布了一个无用补丁

早在 1 月份,Google Project Zero 研究员 Tavis Ormandy 就透露了 BitTorrent 应用程序传输中的一个漏洞,并解释其他客户端也可能存在类似的问题。在本周的一份新报告中,Ormandy 在 uTorrent 中发现了类似的安全漏洞,这是目前最受欢迎的 BitTorrent 客户端之一。 这个问题在 11 月份向 BitTorrent 报告,但就像安全研究人员预测的那样,母公司未能在 90 天窗口中发布补丁,因此本周安全人员将漏洞细节公布在互联网上。 该漏洞存在于 Web 界面中,允许用户远程控制 BitTorrent 客户端,如果被利用,它可能使攻击者能够控制易受攻击的计算机。然而,软件的开发者表示,它已经准备好了一个补丁程序,该补丁程序是最新 beta 版本的一部分,根据 TorrentFreak 的一份报告,它预计将在本周尽快推向稳定渠道。 但事实证明,与 Ormandy 共享的修补程序只覆盖原始漏洞,而不能完全解决漏洞。看起来像 BitTorrent 只是给 uTorrent Web 添加了第二个令牌。这并没有解决 DNS 重新绑定问题。目前,BitTorrent 尚未提供更新的声明,以分享计划发布新补丁程序的方式和时间。 稿源:cnBeta,封面源自网络;

英特尔发布新微代码 有望修复部分芯片“ 幽灵 ”漏洞

英特尔已经开发稳定的新微代码,它可以修复 Skylake、 Kaby Lake、Coffee Lake 处理器存在的 “ 幽灵 ”( Spectre )漏洞,而且所有变种漏洞都能修复。微代码更新可以化解 “ 幽灵 2 号变种 ”(Spectre Variant 2)带来的威胁。所谓“ 幽灵 2 号变种 ” 威胁,就是攻击者能够命令处理器分支预测器对执行什么代码给出一个糟糕的预测。然后处理器会用糟糕的预测来推断数据的数值,这些数值存储在内存中,这样一来攻击者就能窃取信息。 通过对微代码更新,可以让操作系统对分支预测器进行更好的控制,防止一个进程受到另一个进程的影响。 去年英特尔曾经发布第一个微代码更新,甚至还对安装 Broadwell、Haswell、Skylake、Kaby Lake 和 Coffee Lake 的机器进行固件升级,不过用户随后发现,更新会导致系统崩溃重启。最开始时,确认受到影响的只有 Broadwell 和 Haswell 系统,后来发现 Skylake、Kaby Lake 和 Coffee Lake 也会导致重启。 月初时,英特尔还提供了针对 Skylake 处理器的新微代码,它适用于 Skylake 变种处理器,包括 Skylake X、Skylake D、Skylake SP,以及 Skylake 之后的主流芯片,这些芯片以 7 代或者 8 代 Core 的身份推出,代号为 Kaby Lake 或者 Coffee Lake。不过较老的 Broadwell 和  Haswell 处理器无法修复,英特尔说面向 Sandy Bridge、Ivy Bridge、Broadwell 和 Broadwell 处理器的微代码正在测试。 稿源:cnBeta、,稿件以及封面源自网络;

医生警告称医疗植入物可能成为黑客未来的目标

随着医疗植入物的技术越来越复杂,研究人员警告说,他们可能成为网络安全入侵的主要目标。在《美国心脏病学会杂志》上发表的一篇新论文集中讨论了起搏器等医疗植入物被黑客攻击的潜在风险。这项研究带来了一些好消息,但也敦促在未来的医疗设备的设计谨慎。 目前,绝大多数医疗植入物的远程连接有限,无法被黑客窃取或更改。然而,一些较新的植入物具有远程监视功能,可以让医生在不需要病人不需要复诊的情况下密切关注病人的健康状况。 堪萨斯大学医院的医学博士兼该论文的作者 Dhanunjaya R. Lakkireddy 表示:“真正的网络安全始于从一开始就设计受保护的软件,并且需要包括软件专家、安全专家和医疗顾问在内的多个利益相关者的整合。”医生对于前瞻性安全功能的紧迫性在医学界以及患者本身中都有许多共同之处。 潜在可破解的医疗植入物的风险是巨大的。可以远程调整设置的医疗设备显然是最严重的目标,但即使只是传递信息的植入物也有可能会耗尽电池的漏洞,使患者易受伤害。然而,虽然理论上的危险很多,但医生们仍然没有看到在现实世界中出现的任何普遍问题。 Lakkireddy 指出:“单个黑客成功入侵心血管植入式电子设备或能够锁定特定患者的可能性非常低。 更可能的情况是恶意软件或勒索软件攻击影响医院网络并阻止通信。” 这篇论文敦促研究人员和医疗专业人员在设计和实施可远程访问的医疗系统时表现出极其谨慎的态度。危险可能并不严重,但随着越来越多的医疗植入物采用无线诊断和跟踪功能,它们几乎肯定会成为更大的目标。 稿源:cnBeta,封面源自网络