分类: 漏洞事件

思科 Anyconnect VPN 移动客户端提权漏洞,允许攻击者获得系统权限、执行任意文件

思科 AnyConnect 安全移动客户端 4.2.05015 及 4.3.02039 之前版本,由于错误地处理路径名导致本地用户可通过一个精心设计的 INF 文件获得特权。该漏洞允许经过身份验证的本地攻击者,以相当于 Microsoft Windows 操作系统系统账户的权限,安装和执行任意可执行文件。 稿源:securiteam.com,封面来源:百度搜索

思科会议服务器客户端身份验证绕过漏洞,允许攻击者冒充合法用户

周三思科对企业视频会议产品发布了一个更新,修复会议服务器客户端身份验证绕过漏洞(CVE-2016-6445)。该漏洞是由于可扩展消息与存在协议(XMPP)服务不正确地处理过时的身份验证方案,允许未经身份验证的远程攻击者伪装成合法用户访问系统。 Cisco Meeting Server 2.0.6 之前版本启用 XMPP 服务的将受到影响。 Acano Server prior to 1.8.18 之前版本及启用 XMPP 服务的 1.9.6 之前版本也将受到影响。 稿源:本站翻译整理,封面来源:百度搜索

外媒曝使用富士康固件的 Android 设备或暗藏后门

据外媒报道,美国安全专家 乔恩·索耶 今年 8 月发现,一些 Android 设备所使用的富士康固件残留调试程序,攻击者可利用该后门完全绕过身份验证和授权控制入侵 USB、访问通讯内容。 乔恩·索耶 提供了关于如何从Android设备中检测该漏洞的信息: 可检查 ftmboot 和 ftmdata 分区。 “ftmboot” 分区关联传统的 Android 内核/ ramdisk 镜像,含有后门的设备将会关闭 SELinux 安全设置,并以 root 权限运行。而 FTM 引导模式下 ftmdata 分区挂在到 /data 。这些迹象显示设备存在一定风险。 。 目前受影响设备具体数量未知。 稿源:本站翻译整理,封面来源:百度搜索

监控设备制造商 AVTECH 不断忽略漏洞警告长达一年终曝光,影响 13 万多设备

台湾升泰科技公司 AVTECH 是全球领先的 CCTV 制造商之一,近日,匈牙利安全公司 Search-Lab 发表了一份 公告 详细的披露了 AVTECH 监控产品存在的 14 个漏洞。事实上早在 2015 年 10 月 19 日安全公司就尝试与 AVTECH 联系通报发现的漏洞,但没有收到回应,此后又进行了 3 次联系但都没有收到回应,最终 2016 年 10 月 11 日安全公司决定公开发现的问题。根据撒旦搜索引擎搜索结果,有超过 130,000 个 AVTECH 设备被暴露在互联网。鉴于 AVTECH 迟迟未能提供固件更新、修复漏洞,研究人员发出公开警告,希望借此督促系统管理员更改默认密码、厂家及时发布更新。 稿源:本站翻译整理,封面来源:百度搜索

Flash Player 修复 12 处“关键”漏洞,曾允许攻击者远程代码执行、绕过安全措施

虽然许多安全专家表示, Adobe Flash 项目不值得继续开发应该被关闭,但 Adobe 公司仍然尽一切努力去支持 Flash 继续发展,周二推出了全新的安全补丁,修复 12 个“关键”级别的安全漏洞。其中有 11 项允许黑客在受害者设备上执行远程代码,这可能允许攻击者控制受影响的系统。还有一个漏洞是可绕过 Flash 是安全措施。目前尚没有证据表明有黑客利用这些漏洞执行过攻击,考虑到漏洞等级为“关键”级别,用户应该尽快安装。 稿源:本站翻译整理,封面来源:百度搜索

黑客发现 Twitter 旗下短视频分享应用 Vine Docker 镜像漏洞,可下载其完整源代码

短视频分享应用 Vine 于 2012 年 10 月成为 Twitter 旗下的服务,可提供用户分享一个长达 6 秒的短视频。最近印度赏金猎人 Avinash 发现了一个漏洞,允许攻击者不受任何限制下载包含 Vine 的完整源代码的  Docker 镜像包。Avinash 使用似于 Shodan (撒旦)搜索引擎  Censys.io 发现 80 多个 Docker 镜像,从中下载了名叫 “vinewww” 的镜像,因此看到了 Vine 的全部源代码、 API 密钥以及第三方密钥和秘密。随后 Avinash 将漏洞报告给 Twitter 并获得了 10080 美元的漏洞赏金,该漏洞也在 5 分钟内被修复。

黑客利用语音验证漏洞绑定号码可从Google、Facebook和微软窃取高额话费

比利时安全研究员Arne Swinnen发现通过双因素语音验证系统一年能从Facebook、Google和Microsoft公司盗窃数百万欧元。部署双因素认证(2FA)的公司通过短信息服务向用户发送验证码或者用户选择接收语音电话,攻击者可以创建高费率电话服务和假 Instagram、Google 或 Microsoft 账号并绑定,当公司发送验证信息时高费率号码将登记来电通话并向这些公司开具账单。甚至攻击者能通过自动化脚本为所有账号申请双因素验证许可,将合法电话呼叫绑定至自己的服务并赚取可观利润。从理论上讲,每年可以从Instagram赚取206.6万欧元,Google 43.2万欧元,以及Microsoft 66.9万欧元。