分类: 漏洞事件

韩国互联网安全局(KISA)预警:朝鲜黑客利用 Flash 零日漏洞针对性攻击韩国网民

外媒 2 月 1 日消息,韩国互联网安全局(KISA)于近期发布警报称朝鲜黑客已利用 Adobe Flash Player 中的 “ 零日” 漏洞在野外开展攻击活动。据相关研究人员介绍,黑客组织通过诱骗用户打开一个分发恶意 Flash 文件的 Microsoft Office 文档、网页或者垃圾电子邮件来对该漏洞加以利用,从而达到操控用户系统的目的。 韩国计算机应急响应小组(KR-CERT)透露,特制的 Flash 文件中存有恶意代码。 目前看来,该恶意代码很可能嵌入在 Word 文档的 Flash SWF 文件中。 韩国安全公司 Hauri Inc.的研究员 Simon Choi 表示,朝鲜黑客自 2017 年 11 月中旬开始利用 “ 零日”,其主要目的可能是为了攻击韩国用户 。针对上述情况,Simon Choi 建议用户在 Adobe 发布补丁之前禁用或卸载 Adobe Flash Player。 Adobe 方面目前已经得到了报告,并计划在 2 月初发布新版本来解决该漏洞。Adobe 表示从 Flash Player  版本 27 开始,管理员可以设置成用户播放 SWF 内容之前收到提示信息。当然,管理员也可以开启 Office 保护视图,以只读模式打开可能不安全的文件。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

思科被曝 VPN 高危漏洞,工业安全设备、防火墙等多款产品受影响

外媒 1 月 30 日报道,思科( Cisco )于 29 日发布了一个补丁程序,旨在修复影响 ASA 设备的一个严重漏洞。根据思科发布的安全公告显示,该漏洞驻留在设备的 SSL VPN 功能中(解决远程用户访问敏感数据最简单最安全的解决技术),可能会允许未经身份验证的攻击者在受影响的设备上远程执行代码。 该漏洞被追踪为 CVE-2018-0101,是由于在思科 ASA 设备上启用 webvpn 功能时尝试双重释放内存区域所致。据悉,攻击者可以通过将多个精心制作的 XML 数据包发送到受影响系统的 webvpn 配置接口上来利用此漏洞。这样一来,攻击者就能够远程执行任意代码并获得系统的控制权,甚至在某些情况下可能也会致使受影响的设备重新加载。 目前该漏洞影响了思科近十几种产品,如以下列表: — 3000 系列工业安全设备( ISA ) — ASA 5500 系列自适应安全设备 — ASA 5500-X 系列下一代防火墙 — 适用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的 ASA 服务模块 — ASA 1000V 云防火墙 — 自适应安全虚拟设备(ASAv) — Firepower 2100 系列安全设备 — Firepower 4110 安全设备 — Firepower 9300 ASA 安全模块 — Firepower 威胁防御软件( FTD ) 尽管这个漏洞影响了许多 ASA 设备,但是思科声称只有启用了 “ webvpn ”  功能的设备才易受攻击。此外,目前还不确定该漏洞是否已被野外利用,因此相关专家建议受影响的公司尽早推出安全补丁。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

甲骨文 Micros POS 机存在高危漏洞可获得数据库访问权限

据外媒  ZDNet 1 月 30 日报道,Oracle 的 Micros POS 机中存在一个高风险的安全漏洞,允许攻击者在未经验证的情况下对服务器数据库进行访问和读写,致使公司的整个业务数据都受到威胁。 ERPScan 团队在一篇博客文章中对该漏洞进行了分析: 攻击者可以通过访问一个易受漏洞攻击的设备来读取本地文件,以获得用户名和密码,从而拥有完整的数据库访问权限。 据悉,该漏洞的严重程度被研究人员划为 8.1 分(满分10 分) 。甲骨文方面也认为该漏洞非常复杂,并在本月早些时候表示已将其修复,作为其季度补丁计划的一部分促使 ERPScan 发布 漏洞的概念验证码。 研究人员表示近几年 POS 设备时常遭受攻击,比如今年早些时候,Forever 21 确认其付费终端被安装了恶意软件,潜伏时间长达六个多月,使数千名客户面临信用卡诈骗的风险。 目前甲骨文对该起事件并没有作出任何回应 。 消息来源:ZDNet,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

因 CPU 漏洞 Canonical 宣布推迟发布 Ubuntu 16.04.4 LTS

由于近期曝光的 Spectre 和 Meltdown 安全漏洞,Canonical 于今天宣布将推迟即将上线的 Ubuntu 16.04.4 LTS 维护版本更新。该版本原定于 2018 年 2 月 15 日上线,是 Xenial Xerus 系统 5 个预设版本更新中的第 4 个,将会包含最新的 Linux Kernel 内核以及基于 Ubuntu 17.10(Artful Aardvark)的图形堆栈。 本月早些时候两大 CPU 漏洞曝光之后,Canonical 积极为尚处于支持阶段的 Ubuntu 版本发布了修复补丁,但是整合这些安全漏洞并不是这么轻松简单的,因此导致了 Ubuntu 16.04.4 LTS 版本的发布推迟,但是目前并未明确公布公布具体的发布日期。 稿源:cnBeta.com,封面源自网络

英特尔年末推出安全 CPU 将永久避开两大漏洞

英特尔今天确认说,今年晚些时候会推出新版芯片,这些芯片直接修复 Spectre 和 Meltdown 漏洞。在财报分析师会议上,英特尔 CEO 科再奇(Brian Krzanich)公布了新处理器的消息。虽然财报数据比预期好,不过许多人都想知道,面对 Spectre 和 Meltdown 漏洞,英特尔准备怎么办。三个漏洞分别被三个不同的研究团队发现,其中包括谷歌 Project Zero 团队,漏洞对计算机和服务器的安全构成严重威胁。 利用漏洞,黑客可以窃取数据,原本人们都认为这些数据存储在系统中比较安全的部分。 科再奇在会议开始时就谈到了安全问题,他说英特尔正在竭尽全力解决。科再奇说光是用软件修复还不够,英特尔已经知道还要做更多的工作。具体怎么做?科再奇也透露了更多的消息。 英特尔会对处理器架构进行调整,永久避开 Meltdown 和 Spectre 漏洞。不过达到目标需要时间来准备,英特尔说新版处理器要到 2018 年年末才能上市。漏洞影响许多型号的处理器,哪些产品优先解决?英特尔没有明说。 对于英特尔而言,此举从长远来看是有利的。一季度 Spectre、Meltdown 漏洞公之于众,英特尔受到打击,对于许多人来说,想修复只能购买新处理器。如果英特尔能够阻止客户投靠对手,交易时将优惠压到最低,恢复的时间就会比预期更短。 就目前来说,补救还是要靠软件。现在英特尔还没有拿出完美的补丁,之前曾发布补丁,但是用户安装之后发现机器重启频率增加,于是英特尔只得建议用户推迟安装。 稿源:cnBeta,封面源自网络;

URL 传输库 libcurl 现多个漏洞或致敏感信息泄露,最早可追溯至 1999 年

外媒 1 月 25 日消息,研究人员发现客户端 URL 传输库 libcurl 正受到一些漏洞影响。其中一个在很大程度上与 HTTP 请求中处理自定义标头的方式有关,可能会导致认证数据泄露给第三方。 除此之外,一个 “HTTP/2 trailer out-of-bounds read ” 的漏洞也对 libcurl 造成了一定困扰。 HTTP 请求中处理自定义标头 当被要求在 HTTP 请求中发送自定义标头时,libcurl 会首先将这组标头发送给初始 URL 中的主机。但若被要求遵循重定向,并且返回一个 30X 的 HTTP 响应代码,那么 libcurl  则会发送给响应头值中的 URL 所提及的主机。 研究人员称,将同一组标头发送到子序列主机对于传递自定义 Authorization 的应用程序来说是一个特殊的问题。因为这组标头通常包含敏感的信息和数据, 可能会被攻击者滥用来模拟 libcurl-using 客户端请求。 这一漏洞被跟踪为 CVE-2018-1000007 ,在 1999 年就已出现。目前受影响的是 libcurl 7.1 至 7.57.0  的版本,后续版本(7.58.0)不受影响。 HTTP/2 trailer 越界读取漏洞 进行访问时数据会被越界读取,从而导致崩溃或者(太大的)数据被传递给 libcurl 回调。若有人的服务能够响应或使用 trailer 头域,那么很可能会导致拒绝服务或信息泄露的情况出现。 该漏洞被跟踪为 CVE-2018-1000005 , 影响 libcurl 7.49.0 至  7.57.0 的版本。所幸目前研究人员并没有发现到这个漏洞在野外被利用。 消息来源: Security Affairs ,编译:榆榆,校审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Electron 框架现严重 RCE 漏洞影响 Windows 多个应用程序

外媒 1 月 24 日报道,流行软件构建框架 Electron 中存在一个严重的远程代码执行( RCE )漏洞(CVE-2018-1000006),可能会影响大量热门桌面应用程序,比如 Skype,Signal,Slack,GitHub Desktop,Twitch 和 WordPress.com 等。 Electron  表示目前只有 Windows 的应用程序会受到漏洞影响。 Electron 由 GitHub 团队开发,是一个基于 Node.js 和 Chromium 引擎的开源框架,允许应用程序开发人员使用 JavaScript、HTML 和 CSS 等 Web 技术为 Windows,MacOS 和 Linux 等构建跨平台的本地桌面应用程序。目前至少有 460 个跨平台桌面应用程序使用了 Electron 框架。 本周一,Electron 团队称其已在 Electron 框架中修补了该远程代码执行漏洞,并表示该漏洞只影响 Windows 应用程序, Mac 和 Linux 的应用不在影响范围内 。 据 Electron 团队介绍, 该远程代码执行漏洞影响使用自定义协议处理程序的电子应用程序。若这些基于 Electron 的应用程序将自身注册为处理自定义协议框架(如 myapp ://),并且无论协议是怎么注册的,都很可能会受到漏洞影响。( 例如使用本地代码、Windows注册表、Electron 框架的app.setAsDefaultProtocolClient API 等方式注册) 目前 Electron 开发者已经发布了两个新的框架版本来解决这个严重的漏洞,即 1.8.2-beta.4,1.7.11 和 1.6.16。如果由于某种原因导致无法升级 Electron 版本,那么可在调用 app.setAsDefaultProtocolClient 时将其作为最后一个参数追加,因为这样一来,可以有效防止 Chromium 解析更多的选项。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

戴尔紧急叫停 Intel 平台 BIOS 更新:会频繁重启/死机

 1 月 23 日,Intel 在官网发布声明,称已经找到了 Broadwell 和 Haswell 平台在修复 Spectre 安全漏洞中出现重启问题的根本原因,新的测试版正在客户处测试。与此同时,他们叫停了老版本补丁的部署工作,也就是不要安装 BIOS 更新。 对此,戴尔( Dell EMC )已经火速响应,最新的知识库文档建议尚未进行 BIOS 更新的立即暂停,已经更新 BIOS 的应该尝试回退到旧版。 戴尔将问题原因归咎于 Intel 提供的固件,因为它导致了系统重启和死机。 目前,戴尔已经从官方渠道移除了所有受影响的 BIOS,会和 Intel 方面紧密合作,尽快拿出新版。 据悉,在 Spectre 漏洞的 Variant 2 攻击( Branch Target Injection 分支目标注入,识别码 CVE-2017-5715 )中,需要 CPU 更新微代码,也就是通过 BIOS 更新才能完全堵漏。 虽然,Intel 早就表示他们在上周末就为 90% 近五年的 CPU 产品提供了解决方案,现在看来,可能还需要一段时间补救了。 据悉,此次戴尔提及的是 EMC 企业级服务器、存储和网络设备等 “ 大件 ”,至于消费级其实同理可推,大伙儿还是静待一段时间吧。 稿源:cnBeta、快科技,封面源自网络;

2017 年 WordPress 插件和主题漏洞的统计数据

外媒 1 月 23 日消息,安全研究人员近期公布了 2017 年 WordPress 插件和主题漏洞的统计数据,这些数据来源于 ThreatPress 最新的 WordPress 漏洞数据库。据悉,目前 ThreatPress 正在监视大量的数据源,以便实时向数据库中添加新的漏洞。 2017 年整体统计数据 2017 年 ThreatPress 在其数据库中添加了 221 个漏洞,总数较之前减少了 69 %。数据显示, 跨站脚本(XSS)与 2016 年一样,仍然位列榜首。研究人员猜测是因为许多开发人员不重视转义数据输出,才导致了越来越多的 WordPress 插件和主题受到跨站点脚本(XSS)漏洞的攻击。此外, SQL 注入漏洞在 2017 年也大幅上升。 令人惊讶的是,目前有许多网站受到 WordPress 插件中的漏洞威胁,据初步统计,安装插件的网站总数已达 17,101,300 + ,其中: ○ 易受攻击的插件 – 202 ○ 易受攻击的主题 – 5 ○ 受 WordPress.org 存储库漏洞影响的插件 – 153 ○ 受漏洞影响的 非 WordPress.org 存储库插件 – 24 WordPress 的三大漏洞 ○ 跨站点脚本( XSS ) ○ SQL 注入( SQLi ) ○ 损坏的访问控制 按漏洞类型分类的插件 TOP 5 统计 ○ XSS(跨站脚本) – 71 ○ SQL注入 – 40 ○ 不受限制的访问 – 20 ○ 跨站请求伪造(CSRF) – 12 ○ 多重攻击(Multi) – 10 在 2017 年受到漏洞影响的最受欢迎的 5 个插件 ○ Yoast SEO(最流行的 SEO 插件) – 5,000,000  –>  受 XSS(跨站脚本)影响 ○ WooCommerce(最流行的电子商务插件) – 3,000,000  –>  受 XSS(跨站脚本)影响 ○ Smush 图像压缩和优化 – 1,000,000  –> 受 目录遍历 影响 ○ Duplicator – 1,000,000   –>  受 XSS(跨站脚本)影响 ○ Loginizer – 600,000  –> 受 SQL 注入影响 滞后的安全更新 ○ WordPress 在 2017 年发布了 8 个安全更新。 ○ 安全漏洞数据库中的漏洞总数为 3321 。 ○ 第一个漏洞发现于 2005-02-20 。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

暴雪游戏一客户端严重漏洞或遭 DNS Rebinding 攻击,可远程执行任意代码

外媒 1 月 23 日消息,谷歌黑客  Tavis Ormandy 于近期发现暴雪游戏中存在一个严重漏洞,导致数百万台电脑遭到 DNS Rebinding (DNS 重绑定)攻击,从而允许攻击者在游戏玩家的电脑上远程执行恶意代码。目前,暴雪公司在其客户端版本 5996 中加入了部分缓解措施,并表示后续推出的补丁会采取更多稳定的主机白名单机制。 “ 魔兽世界 ”、“ 守望先锋 ”、“ 暗黑破坏神3 ”、“ 炉石传说 ” 和 “ 星际争霸 2 ” 等都是由暴雪娱乐公司制作的流行网络游戏。根据统计数据显示,暴雪公司每月的在线玩家数量达到 5 亿人次。 漏洞信息 若玩家要用浏览器在线玩暴雪游戏,需在自己电脑系统中安装一个名为 “ Blizzard Update Agent ”的客户端程序,然后该应用程序会在 1120 端口上通过 HTTP 协议运行 JSON-RPC 服务器,以便执行 “ 命令安装、卸载、设置更改、更新和其他维护相关的选项 ” 等操作。 Ormandy 发现 Blizzard Update Agent 程序极易受到 DNS Rebinding 攻击。 因为 DNS Rebinding 允许任何网站充当外部服务器和本地主机之间的桥梁,这意味着任意网站都可以向 Blizzard Update Agent 程序发送特权命令。 Ormandy 最初于去年 12 月向暴雪公司报告了该漏洞,不过在几次沟通之后,暴雪公司停止了对 Ormandy 的邮件回应,并秘密地在客户端版本 5996 中加入了部分缓解措施。暴雪公司的解决方案似乎是查询客户端命令行,获取 exename 的 32 位 FNV-1a 哈希值,然后检查它是否在黑名单中。然而, Ormandy 建议暴雪公司将其主机名列入白名单。 在 Ormandy 披露了该漏洞之后,暴雪公司声称相关补丁正在研发部署之中,并承诺会采取更多稳定的主机白名单机制来修复该漏洞。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。