分类: 漏洞事件

GitHub 安全警告计划已检测出 400 多万个漏洞

Github 去年推出的安全警告,极大减少了开发人员消除 Ruby 和 JavaScript 项目漏洞的时间。GitHub 安全警告服务,可以搜索依赖寻找已知漏洞然后通过开发者,以便帮助开发者尽可能快的打上补丁修复漏洞,消除有漏洞的依赖或者转到安全版本。 根据 Github 的说法,目前安全警告已经报告了 50 多万个库中的 400 多万个漏洞。在所有显示的警告中,有将近一半的在一周之内得到了响应,前7天的漏洞解决率大约为 30%。实际上,情况可能更好,因为当把统计限制在最近有贡献的库时,也就是说过去 90 天中有贡献的库,98% 的库在 7 天之内打上了补丁。 这个安全警报服务会扫描所有公共库,对于私有库,只扫描依赖图。每当发现有漏洞,库管理员都可以收到消息提示,其中还有漏洞级别及解决步骤提供。 安全警告服务现在只支持 Ruby 和 JavaScript,不过 Github 表示 2018 年计划支持 Python。 稿源:cnBeta、开源中国,封面源自网络;

英媒:Facebook 泄露数据目前仍未被删除

据英国媒体爆料,尽管 Cambridge Analytica 极力否认,但是该公司并没有将从 Facebook那里获取的用户数据删除,至少是没有全部删除。大量用户的信息和数据落或许已经落到了其他第三方手中。 英国媒体 Channel 4 报道,他们从“ Cambridge Analytica 的消息源处”获得了 13.6 万用户的数据。 Channel 4 表示,他们所获得的这些数据均来自 Facebook,用户大多来自科罗拉多,这些数据也曾经被 Cambridge Analytica 使用来干扰大选。更糟糕的是,现在谁也不能确定还有哪些其他人或机构依然拥有这些数据,尽管 Cambridge Analytica 一直称他们已经删除了这些利用非正当方式所获得的数据。这对于那些个人信息被盗取的用户来说显然不是一件好事。 一位名叫詹尼斯(Janice)的用户在接受 Channel 4 采访的时候表示:“ 一些不在乎社会的人操纵了我们的社会。他们关心的只是自己的生意。他们只在乎自己,根本不关心我们。他们要操纵我们,因为我们既是选民也是消费者。” 对于 Facebook CEO 马克·扎克伯格(Mark Zuckerberg)来说,这个消息足以让他更加焦头烂额。在本月 21 日的时候扎克伯格发表了一篇博文,他在这篇博文中称 Facebook 曾经要求 Cambrige Analytica 和剑桥大学的研究人员删除这些通过不当手段所获取的数据。而且对方也的确向Facebook提供了数据删除证明。 扎克伯格表示:“他们提供了与数据删除相关的证明。” 很显然,Facebook 并没有去核实证明的真实性,也没有调查 Cambrige Analytica 是否真的删除了这些用户的数据。 稿源:新浪科技,封面源自网络;

Windows 7 Meltdown 补丁被发现严重漏洞 允许任意进程读写内核内存

认为英特尔芯片的 Meltdown 漏洞是灾难?还有更严重的,那就是 Meltdow 的补丁。微软向 Windows 7 释出的 Meltdown 补丁,它允许任意进程任意读写内核内存。在 2018 年 1 月到 2 月之间打了补丁的 64 位 Windows 7 系统存在该严重漏洞,而没有打补丁或打了 3 月份补丁的 Windows 7 系统不受影响。 想知道你的 Windows 7 系统是否受到影响,可以从 Github 上下载 PCILeech 测试。 稿源:cnBeta、solidot,封面源自网络;

最新水坑攻击样本仍然利用朝鲜黑客的 Flash 漏洞

Morphisec 警告称,有人利用香港电信公司网站进行攻击,攻击开始使用最近的 Flash 漏洞,该漏洞自 2017 年 11 月中旬以来一直被朝鲜利用。 韩国互联网与安全局(KISA)发布警告提到 CVE-2018-4878 漏洞,并表示漏洞被朝鲜黑客利用后,Adobe 在一周内修补了漏洞。 Morphisec 指出,最近观察到的事件是教科书式的水坑攻击。攻击者在受害者可能访问的网站上植入恶意软件。 由于新的攻击手法没有生成文件,也没有在硬盘中留下痕迹,因此具备更强的隐蔽性。另外它还在没有过滤的端口使用了定制的协议 安全研究人员指出:“一般来说,这种先进的水坑攻击本质上是高度针对性的,应该有一个非常先进的组织在进行支持。” 隐蔽性增强 这次攻击中使用的 Flash 漏洞与先前 CVE-2018-4878 漏洞分析中详述的漏洞非常相似,尽管他们使用了不同的 shellcode。 攻击中的 shellcode 执行 rundll32.exe 并用恶意代码覆盖其内存。这段恶意代码的目的是将其他代码直接下载到 rundll32 进程的内存中。 安全研究人员还发现,命令和控制(C&C)服务器通过 443 端口使用自定义协议与受害者进行通信。 下载到 rundll32 内存的附加代码包括 Metasploit Meterpreter 和 Mimikatz 模块。大多数模块在 2 月 15 日编译,攻击在不到一周的时间里开始。 尽管有这些先进的隐蔽功能,但这次攻击使用了基本的  Metasploit 框架组件,这些组件在攻击之前编译,并且没有混淆,这对攻击的溯源造成了困难。 Morphisec 表示,这次攻击针对几周前的 CVE-2018-4878,而攻击又来自具有国家背景的组织,这些都造成了某种似曾相识的感觉。 稿源:freebuf,封面源自网络;

iOS 11 相机二维码扫描存在漏洞 会导致用户访问恶意网站

iOS 11 中的相机 app 新增加了二维码扫描功能,可以自动识别很多内容,比如网站、App Store 链接以及 WiFi 等。上周末有用户发现,iOS 11 相机 app 存在严重的漏洞。根据 Infosec 报告,研究人员发现,iOS 11 相机 app 扫描的二维码可能欺骗用户,扫描出来的网站信息与真正前往的网站信息不同,这会导致用户访问的网站与实际看到的网站不同。 Infosec 利用这个漏洞制作了一个二维码,当用户扫描后,提示访问:facebook.com,但点开后却访问了 Infosec 自己的网站。 Infosec 认为,相机 app 不能正确的处理二维码中的 URL。自去年 9 月发布之后,iOS 11 出现了很多问题,包括影响所有 iOS 和 Mac 设备的熔断和幽灵 bug 等。Infosec 表示去年 12 月 23 日已经将二维码漏洞递交给苹果,不过截止至现在,苹果仍然没有修复这个问题。 稿源:cnBeta、MacX,封面源自网络;

Drupal 发布其 7 核、8 核安全版本以解决高危关键漏洞

据外媒报道,Drupal 安全团队确认由于受到一个高度关键漏洞的影响,他们将于 3 月 28 日(UTC 时间 18:00 – 19:30 之间)发布 Drupal 7.x、8.3.x、8.4.x 和 8.5.x 的安全版本。Drupal 建议用户预留时间进行核心更新,以防止遭到恶意攻击。  安全团队强烈建议如下: 1、8.3.x 上的站点应立即更新到该建议中提供的 8.3.x 版本,然后计划在下个月更新到最新的 8.5.x 安全版本。 2、8.4.x 上的站点应立即更新到该建议中提供的 8.4.x 版本,然后计划在下个月更新到最新的 8.5.x 安全版本。 3、使用正常程序发布咨询时,7.x 或 8.5.x 上的网站可以立即更新。 官方公告内容: Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001 消息来源:Security Affairs,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Ledger 加密货币硬件钱包曝严重缺陷,多种场景窃取设备私钥

近日,一名 15 岁的英国男孩 Saleem Rashid 发现 Ledger 公司制造的加密货币硬件钱包存在一个严重的安全漏洞,被攻击者用来窃取 Ledger 设备私钥。根据这名男孩的说法,由于 Ledger 使用自定义体系结构来解决其安全元件的许多限制,因此造成了该漏洞的出现。 攻击者可以利用该漏洞在用户接收设备之前破坏设备,或者在某些情况下以物理方式远程从设备中窃取私钥。例如以下场景: 1、在设置 seed 之前进行物理访问:也被称为“ 供应链攻击 ” 它不需要目标计算机上的恶意软件,也不需要用户确认任何事务。由于所有的私钥都是从 recovery seed 中派生出来的,因此攻击者可以窃取任何加载到设备上的资金。 2、安装后的物理访问:通常被称为“ Evil Maid 攻击 ” 这种攻击可以提取 PIN 码,recovery seed 以及任何使用的 BIP-39 口令,只要目标设备在攻击后至少使用一次。和供应链攻击一样,Evil Maid 攻击也不需要计算机上的恶意软件,也不需要用户确认任何交易。它只是要求攻击者安装一个自定义的 MCU 固件,以便于在使用时对私钥进行过滤。 3、恶意软件(带有一些社会工程) 这种攻击要求用户在受感染的计算机上更新 MCU 固件,可以通过显示一条错误消息,要求用户按住左键重新连接设备(以进入 MCU 引导加载程序)来实现。然后恶意软件使用恶意代码更新 MCU,达到控制设备上的可信显示和确认按钮的目的。 奇怪的是,当 Saleem Rashid 在首次向 Ledger 报告其发现时遭到了驳回。不过 Ledger 近期已发布了固件更新 1.4.1,并承诺 “深入探讨安全问题”。 Saleem Rashid 漏洞分析细节: 《Breaking the Ledger Security Model》 消息来源:Security Affairs、Bitcoin.com,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客可利用 Windows 远程协助窃取敏感文件

Trend Micro 0-day 计划的研究人员发现微软的 Windows 远程协助(快速访问)功能出现严重的信息披露漏洞(CVE-2018-0878),影响目前为止所有版本的 Windows,Windows 10、 8.1、 RT 8.1 以及 7 都包括在内。利用这个漏洞,远程攻击者可以窃取目标计算机中的敏感文件。 Windows 远程协助是微软的内置工具,利用这个工具,用户与信任的人之间可以相互接管对方的计算机。这个功能原本是借由远程桌面协议(RDP)实现的。 目前,在微软 3 月份的修复日中,这个漏洞已经被修复,用户可以尽快下载补丁,更新修复。 稿源:FreeBuf,封面源自网络;

AMD 回应安全漏洞:将在未来数周内完全修复

上周,以色列安全公司 CTS-Labs 称发现了 AMD Zen 架构处理器和芯片组的安全隐患,3 月 21 日,AMD 在官方博客回应,称所有漏洞都可以在未来数周内完整修复,且不会对性能造成任何影响。在谈 AMD 的修复操作之前先说说 CTS-Labs 的“ 粗糙流程 ”,因为他们在报告给 AMD 不到 24 小时之后就向媒体公开,让 AMD 很是措手不及,这一点的确不地道,毕竟业内的共识是 90 天。 AMD 首先强调,相关漏洞并不涉及前一阶段沸沸扬扬的“ 熔断 ”和“ 幽灵 ”。其次,存在安全风险的是嵌入式的安全控制芯片(32 位 Cortex-A5 架构)的固件和搭载该模块的部分芯片组(AM4、TR4 等),并非 Zen 架构本身。 最后,掌握漏洞和实施攻击都需要完全的管理员权限,门槛还是很高的。 CTS 刚放出的漏洞演示 AMD 初步将漏洞划分为三类,分别是“ Masterkey ”“ RyzenFall/Fallout ”和“ Chimera ”,前两者涉及安全芯片,后者则涉及芯片组。 解决方法上,“ Masterkey ”和“ RyzenFall/Fallout ”可通过 BIOS 更新给 PSP 固件升级完全免疫,未来几周就会放出。 “ Chimera ”同样可通过 BIOS 更新解决,AMD 正和“ Promontory ”的外包商(应该是祥硕)一道加紧协作。 稿源:cnBeta、快科技,封面源自网络;

MikroTik RouterOS 中发现了可远程利用的缓冲区溢出漏洞

MikroTik 是拉脱维亚的一家供应商,生产全球许多运行基于 Linux 操作系统的电信公司的路由器。该漏洞被追踪为 CVE-2018-7445,远程攻击者可以利用该服务访问该服务以在系统上执行任意代码。“在处理 NetBIOS 会话请求消息时,MikroTik RouterOS SMB 服务中发现缓冲区溢出。 访问该服务的远程攻击者可以利用此漏洞并在系统上获得代码执行权。“阅读该公司发布的咨询。“溢出发生在身份验证发生之前,因此未经身份验证的远程攻击者有可能利用此漏洞。” 研究人员发布了与 MikroTik 的 x86 云托管路由器配合使用的概念验证代码证明。核心首先在 2018 年 2 月 19 日向 MikroTik 报告了这个漏洞 . MozroTik 计划在 2018 年 3 月 1 日发布下一个版本的修复程序,并要求 Core 不要泄露该漏洞的细节。 即使 MikroTik 无法在 2018 年截止日期前发布修复程序,Core 仍在等待 2018 年 3 月 12 日星期一发布的新版本的发布。如果无法安装更新,MikroTik 建议禁用 SMB。几天前,卡巴斯基实验室的安全专家宣布已经发现了一个新的复杂的 APT 组织,该组织从至少 2012 年起至少已经在雷达中运行。卡巴斯基跟踪该组织,并确定了它使用的一系列恶意软件,称为 Slingshot,以 妥协中东和非洲数十万受害者的系统。 研究人员已经在肯尼亚,也门,阿富汗,利比亚,刚果,约旦,土耳其,伊拉克,苏丹,索马里和坦桑尼亚发现了约 100 名弹弓受害者并发现了其模块。肯尼亚和也门迄今为止感染人数最多。 大多数受害者是个人而非组织,政府组织数量有限。APT 组利用拉脱维亚网络硬件提供商 Mikrotik 使用的路由器中的零日漏洞(CVE-2007-5633; CVE-2010-1592,CVE-2009-0824)将间谍软件放入受害者的计算机中。 攻击者首先破坏路由器,然后用文件系统中的恶意代码替换它的一个 DDL,当用户运行 Winbox Loader 软件(Mikrotik 路由器管理套件)时,该库将加载到目标计算机内存中。 该 DLL 文件在受害者的机器上运行,并连接到远程服务器以下载最终有效负载,即卡巴斯基监控的攻击中的 Slingshot 恶意软件。目前还不清楚 Slingshot 团伙是否也利用 CVE-2018-7445 漏洞危害路由器。既然漏洞 CVE-2018-7445 漏洞的概念证明可用,那么客户需要将 RouterOS 升级到版本 6.41.3 以避免问题。 稿源:东方安全,封面源自网络;