分类: 漏洞事件

希捷 GoFlex 家庭存储设备的 SaaS web 服务受 XSS 和 MitM(中间人)攻击威胁

外媒 1 月 23 日消息,安全专家发现超过 3.3 万 个希捷 GoFlex 家庭网络存储 ( NAS ) 设备容易暴露于公网,或引来跨站脚本(XSS)和中间人(MitM)攻击。虽然目前希捷已经修补了 Personal Cloud 和 GoFlex 产品中的 XSS 漏洞,但不幸的是,仍有一些问题尚未解决。 安全专家 Sood 介绍,GoFlex 家庭 NAS 设备在 seagateshare.com 上运行了一个可访问的 Web 服务,允许用户远程管理设备及其内容,并且可以通过设备名称和登录凭证来访问存储。而 GoFlex 固件则运行着一个 HTTP 服务器,要求用户在路由器上启用端口转发,以便连接到 web 服务。 跨站脚本(XSS)和中间人(MitM)攻击 安全专家 Sood 注意到虽然 HTTP 服务器支持过时的协议 SSLv2 和 SSLv3,  而 Web 服务 seagateshare.com 支持 SSLv3。 不过这两种协议都能将用户暴露给 MiTM 攻击(包括  DROWN  和  POODLE 攻击)。 此外,Sood 还在 seagateshare.com 网站上发现了一个 XSS,攻击者可以利用该 XSS 在用户的浏览会话中执行恶意代码,欺骗受害者点击特制链接。 目前希捷只修复了 XSS 漏洞,似乎并没有计划修复与 SSLv2 和 SSLv3 相关的一些问题。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

英特尔称其安全补丁存在缺陷要求用户停止安装 正测试新版

本周一,英特尔公司要求电脑生产商们停止使用英特尔为解决其芯片存在的安全隐患而发布的一系列有缺陷的补丁,英特尔表示正在研发新的补丁以解决自身芯片的安全问题。英特尔发表声明,要求电脑生产商和数据中心管理者停止使用目前其为 Meltdown 和 Spectre 安全漏洞提供的安全补丁,这两个安全漏洞据称将能使黑客从装有英特尔处理器的电脑中偷取用户敏感数据。 该补丁是英特尔花费数月研制出来的,但可能导致电脑比平常时发生更频繁的重启。 现在,英特尔要求消费者们测试其最新版本的补丁,已于上周末发布。英特尔表示其已经找到了导致老款处理器重启问题的根本原因。英特尔数据中心业务高管孙纳颐(Navin Shenoy)在一篇发布在该公司网站上的帖子中说道:“我们要求我们的产业合作伙伴们测试最新发布的安全补丁,以最快向普通消费者发布此更新。” 在今年 1 月 3 日,英特尔确认其芯片受 Spectre 和 Meltdown 安全漏洞影响。其中受 Meltdown 漏洞影响的公司除英特尔外还有软银集团旗下的 ARM Holdings。而 Spectre 则影响了所有现代计算设备,也包括了英特尔和 AMD 的芯片。 随着英特尔开始发布针对此安全漏洞的补丁,一系列问题又产生了。在 1 月 11 日,英特尔承认该补丁可能使老款处理器发生更频繁的重启问题。 稿源:cnbeta.com,封面源自网络

尚有 26% 的企业用户未对漏洞 MeltDown 和 Spectre 进行修补工作

根据 Intel 的说法,SNB 平台到 Kaby Lake 的处理器已经有至少 90% 覆盖了 CPU 漏洞补丁,解决方法包括系统更新和主板 BIOS 升级(固件升级)来消除隐患。与此同时,AMD、IBM、甲骨文等也对自己的平台进行了类似的工作跟进。 虽然对于桌面平台和大型服务器等都有着一定程度的性能影响,但整体来看,对用户的实际使用感知不大。 即便如此,用户实际打补丁的积极程度并没有想象中那么高。 外媒报道,Barkly 的调查显示,仅有 4% 的 IT 和安全支持人员表示,他们已经解决 MeltDown 和 Spectre 隐患。 而高达 26% 的系统尚未接受任何补丁,16% 的系统则是完全搞不懂状况。 至于微软要求杀毒厂商高度注意的一个注册表键值(只有确认杀软兼容、不会引起重启后),80% 的人都还不知道。 稿源:cnBeta、快科技,封面源自网络;

苹果下周发布软件更新,修复 Messages 恶意链接 Bug

经外媒 MacRumors 证实,苹果宣布将于下周发布软件更新来修复 Messages 应用链接的死机 BUG。据悉下周除了 iOS 11.2.5 版本之外,苹果还会推出 macOS High Sierra 10.13.3, watchOS 4.2.2 以及 tvOS 11.2.5,来修复这个恶意链接 BUG。 这条恶意链接 BUG 最早于本周二在 Twitter 上曝光,当 iPhone、iPad、Mac 设备的 Messages 应用接受到包含下面这条链接的信息之后,就会导致设备出现死机,进入无法使用的状态。 软件开发人员阿巴拉海姆·马斯里( Abraham Masri )日前发现了一处漏洞,可导致 iPhone 和 Mac 死机或重启。这处漏洞被称为“ chaiOS ”,被马斯里发布到编程网站 GitHub 上。同时,马斯里还发布了一个被称为“ text bomb ”(文本炸弹)的链接。点击该链接后,可导致 iPhone 和 Mac 死机,有时还会重启。 据悉,通过消息应用程序发送该链接给他人时,就会激活该漏洞,甚至是在接收方并未点击该链接的情况下。对于 Mac 计算机,该漏洞会导致 Safari 浏览器崩溃。 稿源:cnBeta.com,封面源自网络  

ISC 发布 BIND 安全更新,修复导致 DNS 服务器崩溃的高危漏洞

外媒 1 月 17 日消息,互联网系统联盟(ISC)于近期发布了针对 BIND 的安全更新,以解决可能导致 DNS 服务器崩溃的高危漏洞( CVE-2017-3145 ),但目前并没有直接的证据可以表明该漏洞已被野外攻击者利用。 据 ISC 介绍, CVE-2017-3145 漏洞是由于一个 use-after-free (简称 UaF , 是一种内存数据破坏缺陷)的错误导致的: BIND 对上游递归获取上下文的清理操作进行了不恰当的排序,从而在某些情况下出现了 use-after-free  错误,以至于触发断言失败和 DNS 服务器进程崩溃。 该漏洞可能影响到运行 DNSSEC 验证解析器的系统,因此相关专家建议临时禁用 DNSSEC 验证作为解决方案。但根据 ISC 的说法,目前没有证据可以表明 CVE-2017-3145 已经被野外攻击所利用。 这一漏洞在 9.0.0 版本以来就已经存在于 BIND 中,但之前 ISC 发布的 CVE-2017-3137 修补程序版本并没有已知的代码路径可以通向它 。因此,虽然 BIND 的所有实例都应修补,但目前只有9.9.9-P8 ~ 9.9.11,9.10.4 ~ P8 ~ 9.10.6,9.11.0 ~ P5至9.11.2,9.9.9-S10 ~ 9.9.11-S1,9.10.5-S1到9.10.6-S1,以及9.12.0a1 ~ 9.12.0rc1 可以做到修复。 除此之外,ISC 还披露了一个中等严重程度的 DHCP 缺陷,研究人员追踪其为 CVE-2017-3144 漏洞  : 由于未能正确清理已关闭的 OMAPI 连接而出现的漏洞,可能会导致 DHCP 服务器可用的套接字描述符池耗尽。 攻击者通过 CVE-2017-3144 漏洞,允许与 OMAPI 控制端口建立连接, 从而耗费 DHCP 服务器可用的套接字描述符池。一旦耗尽,服务器将不会接受其他连接,并且拒绝访问来自合法服务器运营商的连接。当服务器继续接收和服务 DHCP 客户端请求时,运营商可能被阻止使用 OMAPI 来控制服务器状态,添加新租约预留等。 虽然 CVE-2017-3144 影响了 4.1.0 至 4.1-ESV- R15, 4.2.0 至4.2.8 以及 4.3.0 至 4.3.6 的版本,但 ISC 表示目前已经开发了在未来的 DHCP 版本中推出的补丁,可以禁止未经授权的客户访问 OMAPI 控制端口。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

恶意软件 Zyklon 利用微软 Office 三漏洞收集密码及加密钱包数据

外媒 1 月 17 日消息,FireEye 于近期发现了一种新的攻击手法——利用三个 2017 年披露的 Microsoft Office  漏洞进行恶意软件 Zyklon 的传播活动 。据悉,该活动主要针对电信、保险和金融服务等公司,试图收集其密码和加密货币钱包数据,并为未来可能发生的 DDoS (分布式拒绝服务) 攻击收集目标列表。 功能强大的 Zyklon 恶意软件 Zyklon 是一款 HTTP 僵尸网络恶意软件 ,自 2016  年就开始出现,通过 Tor  匿名网络与其 C&C (命令和控制)服务器进行通信,从而允许攻击者远程窃取密钥和敏感数据,比如存储在 web 浏览器和电子邮件客户端的密码。此外,根据 FireEye 最近发布的报告,Zyklon 还是一个公开的全功能后门,能够进行键盘记录、密码采集、下载和执行额外的插件,包括秘密使用受感染的系统进行 DDoS 攻击和加密货币挖掘。 而在此次攻击活动中,背后的攻击者利用  Microsoft Office 的三个漏洞通过鱼叉式网络钓鱼电子邮件传播 Zyklon 恶意软件,这些邮件通常会附带一个包含恶意 Office 文档的 ZIP 文件。一旦用户打开这些恶意文件就会立即运行一个 PowerShell 脚本,并从 C&C 服务器下载最终 playload。这样一来, 用户的计算机设备就会成功受到感染。 以下为恶意软件利用的三个 Microsoft Office 漏洞: 第一个漏洞:CVE-2017-8759 是 Microsoft 去年十月修补 的 .NET 框架漏洞。打开受感染文档的目标将允许攻击者安装恶意程序,处理数据并创建新的特权帐户。 受感染的 DOC 文件包含嵌入的 OLE 对象,该对象在执行时触发从存储的 URL 下载的另外的 DOC 文件。 第二个漏洞:CVE-2017-11882 是在 Microsoft 公式编辑器的 Office 可执行文件中发现的远程代码执行错误,微软已于 2017 年 11 月为其发布了补丁。 该漏洞与以前的漏洞类似,打开特制 DOC 的用户将自动下载包含最终 playload 的 PowerShell 命令的 DOC 文件。 第三个漏洞:在于动态数据交换( DDE ),但微软不承认该漏洞的存在,而是坚称 DDE 只是一个产品功能,是建立应用程序如何通过共享内存发送消息和共享数据得协议。然而,在过去的一年中,攻击者利用 DDE 在恶意活动取得了巨大的成功,比如在无需启用宏或内存损坏情况下在目标设备上执行代码。 FireEye 表示,目前越来越多的攻击者利用恶意软件来执行不同的任务,并且很可能会超出当前攻击目标的范围,因此对于所有行业来说保持高度警惕性变得尤为重要。 消息来源:threatpost,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

英特尔公布安全漏洞修复补丁带来的性能衰减详情

本周三英特尔召开发布会,正式透露在修复安全漏洞的补丁更新后计算机的性能衰减详情。英特尔强调修复补丁对于计算机性能的影响取决于工作负载和配置,此次性能影响将对运行着高负载老旧芯片型号会受巨大影响,而运行 Windows 10 系统的最新芯片的性能影响会微乎其微。 英特尔表示,它在服务器平台上进行了一系列测试,发现通常由企业和云客户执行的常见工作负载的影响可能会达到2%。数据中心集团总经理纳辛·谢诺( Navin Shenoy )解释说,根据模拟经纪公司客户经纪人与证券交易所互动的模拟线上交易处理( OLTP )基准,这一性能衰减可能达到 4%。而对处理大数据量的服务器的性能影响情况尤其严重,英特尔称这些配置的性能影响可高达 25%, 英特尔官员还补充说,该公司正在与合作伙伴合作,降低补丁对性能的影响,Google 的解决方案在这方面可能派上用场。 稿源:cnBeta,封面源自网络;

甲骨文发布关键补丁 修复英特尔芯片漏洞

据国外媒体报道,甲骨文公司周二表示发布了一个关键补丁,为其某些产品修复英特尔公司芯片漏洞。 该公司在其网站上说,这个关键补丁包含了多个 Oracle 产品中的 237 个新的安全修复程序。 另外,技术网站 The Register 报道,引用 Oracle 客户专用门户网站上的一篇文章说,SPARCv9 上某些版本的 Oracle Solaris 受到其中一个名为 Specter 的芯片缺陷的影响,该公司正在为其开发一个安全补丁。目前甲骨文拒绝就此报道发表评论。 稿源:、TechWeb,稿件以及封面源自网络;

Spectre / Meltdown 补丁或严重影响 SolarWinds 的 AWS 基础架构

外媒 1 月 15 日消息,IT 管理软件和监控工具供应商 SolarWinds 通过分析发现,Spectre / Meltdown 补丁使其亚马逊网络服务( AWS )基础设施的性能严重下降。 据悉,SolarWinds 在半虚拟化的 AWS 实例上图形化地表现了“ Python worker service tier ” 的性能。如下图所示,在亚马逊重启 SolarWinds 使用的 PV 实例后,CPU 使用率跃升至 25% 左右。 与此同时,SolarWinds 对其 EC2 HVM 实例的性能也进行了监控,发现在 Amazon 推出 Meltdown  的补丁时性能开始下降,并且不同的服务层的 CPU 颠簸也非常明显。 根据数据显示,结果并不可观,比如 Kafka 集群的数据包速率降低了 40%,而 Cassandra 的 CPU 使用率则猛增了 25%。 不过 SolarWinds 表示,目前 CPU 水平似乎正在返回到 HVM 之前的补丁水平,但并不清楚实例中 CPU 使用率降低是否与额外的补丁有关。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑莓发布无人车网络安全软件 Jarvis 可扫描软件漏洞

媒体 1 月 16 日早间消息,加拿大软件制造商黑莓本周一发布了一个新的网络安全软件,它能够辨识无人驾驶汽车所使用的程序中所含有的漏洞。这个软件名为 Jarvis,除了无人驾驶汽车之外,它还可以被用在医疗健康以及工业自动化领域。黑莓公司希望凭借这个软件完成从手机制造商到软件制造商的转型。 黑莓公司表示,汽车制造商可以使用这个软件在软件开发的各个阶段对软件代码进行扫描,以此来寻找代码中的漏洞。 去年在世界范围内爆发的 WannaCry 勒索软件让黑莓的安全软件业务受到了人们的注意,黑莓的这项业务专注于移动设备上的安全连接。 黑莓表示他们已经与于著名汽车制造商塔塔汽车旗下的捷豹路虎一起对 Jarvis 进行了测试。捷豹路虎 CEO 表示,Jarvis 能够让代码审核所需要的时间从 30 天减少到 7 分钟。 去年 9 月,黑莓还宣布他们将于汽车零部件制造商德尔福一起开发无人驾驶汽车软件操作系统。本月早些时候,黑莓与百度签署了一项协议,双方将联合开发无人驾驶技术。除此之外,黑莓最近还与芯片制造商高通、汽车零部件制造商电装以及福特汽车公司签署了与汽车相关的协议。 稿源:cnBeta、,稿件以及封面源自网络;