分类: 漏洞事件

GitLab 向报告远程代码执行漏洞的研究员奖励 2 万美元

GitLab 向报告自家平台的严重远程代码执行漏洞的安全研究人员奖励了 2 万美元。该漏洞由 William “vakzz” Bowling 发现,Bowling 既是一名程序员同时也是 Bug 赏金猎人,他于3月23日通过 HackerOne Bug 赏金平台私密披露了该漏洞。 Bowling 表示,GitLab 的 UploadsRewriter 函数用于拷贝文件,而这正是此次严重安全问题的源头。当 issue 被用于跨项目复制时,UploadsRewriter 函数会检查文件名和补丁。然而在这过程中由于没有验证检查,导致出现路径遍历问题,这可能会被利用于复制任何文件。 根据 Bug 赏金猎人的说法,如果漏洞被攻击者利用,则可能会被用于”读取服务器上的任意文件,包括 token、私有数据和配置”。GitLab 实例和 GitLab.com 域均受到该漏洞的影响,此漏洞被 HackerOne 判定为严重等级程度。 Bowling 补充到,通过使用任意文件读取漏洞从 GitLab 的 secret_key_base 服务中抓取信息,可以将该漏洞变成远程代码执行(RCE)攻击。举例来说,如果攻击者改变了自己实例的 secret_key_base 以匹配项目,那么 cookie 服务也可以被操纵以用于触发 RCE 攻击。 Bowling 将漏洞发送给了 GitLab 安全团队,工程师们重现了此问题,并指出攻击者至少需要成为项目成员才能利用该漏洞,但根据 GitLab 高级工程师 Heinrich Lee Yu 的说法,攻击者也可以”创建自己的项目或组别来达到同样的目的”。 目前,该漏洞已经在 GitLab 12.9.1 版本中得到了解决,安全研究人员 Bowling 也于3月27日获得了全额赏金。   (稿源:开源中国,封面源自网络。)

谷歌披露影响苹果全平台的 Image I/O 零点击漏洞

周二的时候,谷歌公布其在苹果公司的图像 I/O 中发现了当前已被修复的一些 bug 。对于该公司的平台来说,Image I/O 对其多媒体处理框架有着至关重要的意义。ZDNet 报道称,谷歌旗下 Project Zero 团队在周二概述了该漏洞的诸多细节。若被别有用心者利用,或导致用户遭遇“零点击”攻击。 据悉,Image I/O 随 iOS、macOS、watchOS 和 tvOS 一起向应用开发者提供。因此谷歌曝光的这一缺陷,几乎影响苹果的每一个主要平台。 问题可追溯到围绕图像格式解析器的一些老生常谈的问题,这些特殊的框架很适合被黑客利用。通过编造畸形的媒体文件,便可在目标系统上运行无需用户干预的“零点击”代码。 谷歌 Project Zero 补充道,他们分析了 Image I/O 的“模糊处理”过程,以观察该框架是如何响应错误的图像文件格式的。之所以选择这项技术,是因为苹果限制了对该工具大部分源代码的访问。 结果是,谷歌研究人员成功地找到了 Image I/O 中的六个漏洞、以及 OpenEXR 中的另外八个漏洞,后者正是苹果向第三方公开的“高动态范围(HDR)图像文件格式”的框架。 谷歌 Project Zero 安全研究人员 Samuel Groß 写道:“经过足够的努力,以及由于自动重启服务而授予的利用尝试,我们发现某些漏洞可被利用开执行‘零点击’的远程代码”。 鉴于这是一种基于多媒体攻击的另一种流行途径,其建议苹果在操作系统库和 Messenger 应用中实施连续的“模糊测试”和“减少受攻击面”,后者包括以安全性的名义而减少对某些文件格式的兼容政策。 最后需要指出的是,苹果已经在 1 月和 4 月推出的安全补丁中,修复了与 Image I/O 有关的六个漏洞。   (稿源:cnBeta,封面源自网络。)

谷歌 Play Store 新漏洞导致相同版本的应用重复更新

谷歌应用商店Google Play Store出现了一个新的bug,导致一些应用在Google Play Store当中反复显示有相同版本的可用更新。用户报告受影响的应用主要包括YouTube TV、Google Docs、Google Docs、Sheets、Slides、Gmail等第一方应用。 据报道,一些用户开始注意到,”我的应用和游戏 “部分列出了其中的一些更新,实际上,其中一些应用会被下载安装。然而,这些更新的应用版本号和已经安装的应用版本号似乎完全相同,这表明是bug导致了有新版本的错误提示。有趣的是,在某些设备上,当从任务切换器中关闭Play Store应用时,这些更新要么消失,要么被其他应用取代。 更新后的应用甚至会在页面的 “最近更新 “部分列出。有趣的是,据说一些第三方应用也会提示有相同版本的应用更新。而有些应用的更新,不经过下载就直接跳转到安装阶段。虽然这个bug并不严重,甚至可能大多数用户都不会注意到,但那些数据量有限的用户可能会浪费数量流量下载相同版本的应用。 (稿源:cnBeta,封面源自网络。)

苹果公司:无证据表明黑客可利用邮件漏洞进行攻击

据外媒报道,苹果公司表示,目前没有任何证据表明网络攻击者可以利用iPhone和iPad邮件(Mail)应用程序中的新漏洞进行黑客攻击。此次发现漏洞的Mail应用在全球可能有超过10亿用户。 苹果公司正在反驳网络安全公司ZecOps的说法。ZecOps称,苹果的软件缺陷为黑客潜入iPhone及其他iOS设备中提供了可能,且这一漏洞已经存在了一年之久。苹果公司发起了一项调查,并在一份声明中表示,Mail问题本身并不足以让网络攻击者绕过苹果内置的安全机制。同时,苹果公司补充说,它将很快发布一个补丁。 苹果公司表示:“我们已经彻底调查了研究人员的报告,并根据所提供的信息得出结论,这些问题不会对我们的用户构成直接的风险。研究人员在Mail中发现了三个问题,但仅凭这些漏洞并不足以让黑客绕过iPhone和iPad的安全保护,目前我们还没有发现任何证据表明它们可以被用来攻击苹果用户的隐私。” 总部位于旧金山的ZecOps上周五对苹果的否认做出了回应,重申它发现的漏洞确实被“一些组织”利用了。ZecOps公司在一份声明中对苹果的新补丁表示了感谢,同时宣称将在补丁发布之后“更新更多信息”。 上周三,ZecOps发布了关于漏洞的报告。报告称,当iPhone或iPad在Mail应用程序上打开一封经过特别设计的电子邮件时,网络攻击者就可以利用这些漏洞。ZecOps公司在报告中称,这一漏洞已经被“一个高级威胁的运营商”用于实施攻击了。ZecOps公司表示,遭到网络攻击的用户中有“来自北美财富500强企业的个人”、“日本一家航空公司的高管”以及“欧洲的一名记者”。 据ZecOps称,网络攻击者可能从2018年1月就开始利用这些漏洞了。ZecOps预测,当苹果发布beta版更新时,这些漏洞会被公开披露,而网络攻击者“很可能会利用这段时间,在补丁发布之前攻击尽可能多的设备”。   (稿源:新浪科技,封面源自网络。)

微软发布令牌漏洞公告:可绕过 Chromium 沙盒执行任意代码

谷歌的安全团队近日发现存在于Windows 10 May 2019(Version 1903)功能更新中的某个BUG,能够破坏所有基于Chromium浏览器的沙盒。想要利用这个漏洞发起攻击比较复杂,主要是更改操作系统代码中与安全令牌分配有关的代码。将“NewToken->ParentTokenId = OldToken->TokenId”更改为了“NewToken->ParentTokenId = OldToken->ParentTokenId;”。 在今天微软发布的安全公告(CVE-2020-0981 | Windows令牌安全特性绕过漏洞)对其进行了最简洁的解释: 当Windows无法正确处理令牌关系时,存在安全功能绕过漏洞。成功利用该漏洞的攻击者可以让具有一定完整性级别的应用程序在不同的完整性级别执行代码,从而导致沙盒逃脱。 谷歌的Project Zero安全团队发现了这个漏洞,如果被黑客利用能够绕过Chromium沙盒,运行任意代码。幸运的是,在本月补丁星期二活动日发布的累积更新(KB4549951)中,已经修复了这个漏洞。   (稿源:cnBeta,封面源自网络。)

47000 名开发者每月产生 30000 个漏洞 微软是如何用 AI 排查的

目前微软共有47000多名开发人员,每月会产生将近30000个漏洞,而这些漏洞会存储在100多个AzureDevOps和GitHub仓库中,以便于在被黑客利用之前快速发现关键的漏洞。 微软的高级安全项目经理Scott Christiansen,大量的半策展(semi-curated)数据非常适合机器学习。自2001年以来,微软已经收集了1300万个工作项目和BUG。 Christiansen表示:“我们利用这些数据开发了一个流程和机器学习模型,它能在99%的时间内正确区分出安全和非安全漏洞,并能准确识别出关键的、高优先级的安全漏洞,97%的时间内准确识别出关键的、高优先级的安全漏洞。” 微软构建的机器学习模型中,旨在帮助开发者准确识别和优先处理需要修复的关键安全问题,并对其进行优先级排序。Christiansen表示:“我们的目标是建立一个机器学习系统,以尽可能接近安全专家的准确度将BUG分为安全/非安全和关键/非关键”。 为了实现这个目标,微软对学习模型进行了诸多培训,提供了很多标记为安全的BUG以及其他标记为不安全的BUG。该模型经过训练之后,能够基于掌握的信息来给没有被预先分类的数据打上标签。   (稿源:cnBeta,封面源自网络。)

微软发布紧急更新 修复 Office 和 Paint 3D 应用中 RCE 漏洞

微软今天发布了一个紧急安全更新,修复了存在于微软Office和Paint 3D应用中的多个漏洞。这些漏洞存在于使用Autodesk FBX库的微软应用中,而Autodesk官方也在4月15日为受影响的产品发布了修复补丁。 微软在其公告中解释说,攻击者如果成功利用上述漏洞,将能够获得与登录用户相同的权限,这意味着恶意行为者甚至可以在受影响的机器上获得管理员权限。 微软解释说:“在微软产品中存在多个远程代码执行漏洞,在处理某些特别制作的3D内容时调用FBX库就会出现问题。成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。对于那些权限较少的用户来说影响可能会更小一些。” 微软表示:“要利用这些漏洞,攻击者必须向用户发送一个包含3D内容的特制文件,并说服用户打开该文件。本次发布的紧急安全更新通过修正微软软件已经修复了这些漏洞。” 这些安全补丁被评级为“重要”,据悉Microsoft Office 2016、Microsoft Office 2019和Office 365 ProPlus都受该漏洞影响。   (稿源:cnBeta,封面源自网络。)

OpenSSL 高危漏洞影响 OpenSSL 1.1.1 的多个版本

OpenSSL 项目发布安全公告称存在一个影响 OpenSSL 1.1.1d, 1.1.1e 和 1.1.1f 的高危漏洞 (CVE-2020-1967),该漏洞可被用于发起 DoS 攻击。根据官方对该漏洞的描述,在 TLS 1.3 握手期间或握手之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会导致崩溃,原因是不正确处理”signature_algorithms_cert” TLS 扩展而引起的空指针引用。 如果从另一方接收到一个无效或未被识别的签名算法,则会发生崩溃。这可能会被恶意攻击者利用并发起 DoS 攻击。 该漏洞由 Bernd Edlinger 通过 GCC 中的新静态分析通道 -fanalyzer 发现,并已于2020年4月7日向 OpenSSL 报告。 对于受影响的 OpenSSL 1.1.1(1.1.1d,1.1.1e 和 1.1.1f)用户,建议尽可能快地升级到 1.1.1g。OpenSSL 1.1.1d 之前的版本不受此漏洞影响。 更早的版本如 OpenSSL 1.0.2 和 1.1.0 也均未受影响,不过这些版本都不再被支持,也无法再接受更新。建议使用这些版本的用户升级至 OpenSSL 1.1.1。   (稿源:开源中国,封面源自网络。)

谷歌发布 Chrome 紧急补丁 修复 CVE-2020-6457 关键漏洞

谷歌已经为Chrome浏览器发布了一个紧急修复补丁,并敦促用户尽快安装。谷歌并没有透露有关于CVE-2020-6457漏洞的更多信息,只是确认为“use after free”类型漏洞。 该漏洞是由Sophos公司的安全研究人员发现的,据说是一个远程代码执行(RCE)漏洞。该漏洞允许攻击者在受害者不知情的情况下运行命令和未受信任的脚本。 安全研究员Paul Ducklin在一篇博文中表示,该漏洞将允许黑客 “改变你的程序内部的控制流,包括转移CPU来运行攻击者刚刚从外部戳入内存的非信任代码,从而绕过任何浏览器通常的安全检查或’你确定吗’对话框。” 此外他还表示该漏洞影响广泛,包括Windows、macOS和GNU/Linux用户多达20亿用户都可能受到影响。因此在大部分用户都已经安装该更新之后谷歌可能会公布更多的细节。 如果你是Google Chrome浏览器用户,那么你应该确保你运行的是v81.0.4044.113或以上版本。你可以通过访问帮助关于Google Chrome浏览器,检查更新和安装的版本。   (稿源:cnBeta,封面源自网络。)

OpenSSL 曝出一个高危漏洞

OpenSSL 项目发布安全公告,披露了一个影响 OpenSSL v1.1.1d、1.1.1e 和 1.1.1f 的高危漏洞。该漏洞可被用于发动拒绝服务攻击。开发者称,在 TLS 1.3 握手期间或之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会发生崩溃,原因是不正确处理 signature_algorithms_cert 扩展导致的空指针引用。 受影响的 OpenSSL 1.1.1 版本需要尽可能快的升级到  1.1.1g。该漏洞是 Bernd Edlinger 发现的,他在 4 月 7 日报告给 OpenSSL 项目。两周内释出补丁称得上很迅速了。   (稿源:solidot,封面源自网络。)