分类: 漏洞事件

普华永道 ACE 自动评估软件存漏洞,可泄露客户敏感财务数据

德国安全公司 ESNC 发现普华永道会计事务所使用的 ACE 自动评估软件存在安全漏洞,黑客可利用漏洞获得事务所和客户的财务数据。 普华永道国际会计事务所(PricewaterhouseCoopers)成立于英国伦敦,全球顶级会计公司,位居四大会计师事务所之首。 普华永道 ACE 软件基于 SAP 系统运行,具有远程代码执行漏洞,允许攻击者远程注入恶意 ABAP 代码绕过变化管理控制和隔离约束限制,获取客户主要财务数据和人力资源工资信息。 德国安全公司 ESNC 将漏洞详细情况发布到网上。 该漏洞影响 ACE-ABAP 8.10.304 及之前版本。 稿源:本站翻译整理,封面来源:百度搜索

雅虎邮件服务存漏洞,允许黑客访问目标用户任意邮箱

芬兰安全专家 JoukoPynnönen 发现雅虎邮件服务存在漏洞,允许黑客读取受害者的电子邮件消息。 研究员称这是一个基于 DOM 的持久型 XSS (跨站点脚本)漏洞,攻击者可以利用漏洞向任何用户发送被嵌入恶意代码的电子邮件。 这种攻击只需要用户查看电子邮件,当用户打开邮件后,恶意代码会就会自动执行,无需点击链接或打开附件等交互行为,让人防不胜防。 恶意代码会将受害人的收件箱信息转发到外部网站,此外,攻击者也会在邮件签名处隐藏恶意代码并借助受害人发送邮件继续传播。 问题的根源在于,雅虎未能正确过滤嵌入在 HTML 邮件中的恶意代码。他注意到并非所有的 HTML 属性都能正确验证,其中一些使用 JavaScript 存储应用程序特定的数据。攻击者利用 AJAX 能读取到用户信箱中的内容并发送至攻击者服务器。 上周雅虎修复了邮箱安全漏洞,并提供给研究员 JoukoPynnönen 10000 美元漏洞赏金。 稿源:本站翻译整理,封面来源:百度搜索

新方法可利用 Android 脏牛漏洞,提权窃取敏感信息、执行恶意操作

Dirty COW (脏牛漏洞)是一种严重的 Linux 提权漏洞,在 2016 年 10 月已经向公众披露,允许攻击者获得目标系统上的 root 访问权限。据 趋势科技 12 月 6 日报道,研究员又发现了一种新的方法针对脏牛漏洞提升操作权限。该新方法可以直接将恶意代码注入正在运行的进程。 PoC 验证 该验证过程被上传到 YouTbe 视频分享网站上。 研究人员在一部 Android 手机上,安装了一个特殊验证应用。一旦运行,攻击者就可以利用脏牛漏洞窃取设备信息、更改系统设置(开启蓝牙和Wi-Fi热点)、获取地理位置,并可静默安装谷歌应用商店以外的应用。 原因 当执行一个 ELF 文件时,Linux 内核映射可执行文件到内存中,你再次打开相同的 ELF 可执行文件时,此映射将被重用。当利用脏牛漏洞修改正在运行的 ELF 文件后,ELF 文件的运行过程也会随着修改发生改变。在 Android 上该过程也适用,Android 运行时 ART 进程也可以用同样的方式进行动态修改。这允许攻击者修改其他进程、注入恶意代码。 漏洞修复 趋势科技的研究员称此前已将此漏洞告知谷歌。从视频中看这可看出在 11 月 3 日仍可复现。 2016 年 11 月 6 日 Android 发布了补丁修复该漏洞,但但修复没有成为强制性。 直到2016 年 12 月 5 日 Android 又发布更新,全面修复了该漏洞问题。 稿源:本站翻译整理,封面来源:百度搜索

朝鲜“最安全的”红星操作系统曝远程命令注入漏洞

据外媒报道,Hacker House 研究员发现朝鲜红星操作系统 RedStar OS 3.0 存在远程任意命令注入漏洞,只需要单击超链接,即可让攻击者远程访问用户的计算机、装恶意软件,。 红星(Red Star)操作系统是朝鲜在 Linux 操作系统的基础上自行研发、改进的电脑操作系统。最新的 3.0 系统界面与苹果 OS X 操作系统相似。 由于朝鲜使用独立的区域网络,而不使用万维网,浏览器是基于 Firefox 浏览器改版而成,被称为“我的国家”(Naenara)。 研究员注意到系统中 /usr/bin/nnrurlshow 为特定命令行应用程序并可处理 URI 请求的特性。黑客还发现浏览器存在漏洞 Naenara 执行注册时不擦除应用程序的命令代码请求,将格式错误的 URI 传递到 nnrurlshow 命令行应用中,触发执行命令代码 。 黑客可以诱使用户在浏览器上点击一个链接,之后将启动电子邮件客户端并调用命令行指向“ mailto:`cmd` ”,此后黑客就可以获得权限执行任意代码,操纵电脑、安装恶意软件等。 稿源:本站翻译整理,封面来源:百度搜索

ipad 内存缓冲区溢出漏洞,可绕过 iOS 10.1.1 激活锁

漏洞实验室安全分析师 Benjamin Kunz Mejri 发现利用缓冲区溢出漏洞和 ipad 某些特有 bug 可绕过开启激活锁功能的 iOS 10.1.1 设备。 苹果公司 Find My iPhone 服务允许用户在设备丢失或失窃时激活 iPhone、iPad 或 iPad 的“丢失模式”( Lost Mode ),这种模式启动后会自动启用“激活锁”功能, 激活锁在开启之后,iOS 设备便会拒绝其他人进行操作,除非使用用户的 iCloud 密码,即便是抹去或者重置系统也不会让该功能失效。这一功能在了 iOS 7 系统中开始启用。这使得偷来的苹果设备失去了“价值”很难转售出去,只能拆成零件。 启动激活锁,设备开机后,第一步需点击“选择另一个网络”连接无线网络,选择安全类型,然后输入一个非常非常长的字符串填写网络名称和网络密码。之后,iPad 开始卡,这时你可以合上 Smart Cover (保护套),然后重新打开,屏幕将故障片刻并绕过激活锁进入主显示屏。 研究员将视屏上传到 Youtube ,视频中运行 iOS 10.1.1 的 iPad Mini 2 设备受到影响,但运行 iOS 10.1.1 的 iPhone 5 无法复现,此外运行 iOS 9 的 iPad 也不受影响。 稿源:本站翻译整理,封面来源:百度搜索

杀人于无形 —— 植入式心脏除颤器可被黑客轻松入侵

据国外媒体报道,研究人员发现一些最新一代的植入式心脏除颤器(ICD)使用了安全性较弱的通信协议,攻击者无需具备专业知识即可利用反向工程、漏洞或拒绝服务(DDoS)进行攻击。 来自比利时和英国的研究人员报告发现,植入性医疗器械(IMDS)使用了私有通信协议,主要用于执行关键功能如改变 IMDS 的治疗或收集遥测数据。逆向工程是非常可行的方案,即使在有限的知识和资源下攻击者甚至无需出现在设备附近,利用工具或定向天线足以延长攻击距离,杀人于无形。 目前已发现市场上至少 10 种以上 ICD 设备会受到影响。缓解或解决设备漏洞的方式包括:当 ICD 处于待机模式时干扰无线通道,发送关机指令使设备将进入睡眠模式,从而添加基于对称密钥的身份验证等。 稿源:本站翻译整理, 封面:百度搜索

远程访问管理工具 AirDroid 存漏洞,泄露设备认证信息、执行代码

Zimperium 公司称 Android 远程管理工具 AirDroid 存在多个漏洞,允许攻击者发动中间人攻击,远程执行恶意代码、更新恶意 APK 、获取敏感信息。 根据谷歌应用商店数据,AirDroid 应用程序已被下载超过 5000 万次。 Zimperium 研究人员发现,AirDroid 使用不安全通信信道,给统计服务器发送认证数据。且加密密钥的应用本身采用硬编码(ECB模式)加密。攻击者可以在同一网络上进行中间人攻击,获取请求中泄露的设备认证信息。冒充受害人的设备执行各种 HTTP 或 HTTPS 协议向 AirDroid API 端点请求并重定向流量到一个恶意的代理,从而在目标设备上远程执行代码、注入恶意 APK 更新。 攻击者还可以获得完全访问该设备,并看到用户敏感的数据,包括电子邮件地址和密码等。 目前漏洞没有被修复,为了解决这些问题,AirDroid 只能使用安全通信通道(HTTPS),避免 SSL 中间人攻击,使用安全密钥交换机制,更新升级数字验证文件。 稿源:本站翻译整理,封面来源:百度搜索

贝宝(PayPal)修复安全漏洞曾允许黑客窃取 OAuth 令牌

Adobe 公司软件工程师 Antonio Sanso 发现在线支付工具贝宝(PayPal)存在严重安全漏洞,允许黑客窃取第三方开发者开发的应用程序在支付时使用的 OAuth 凭证。 研究员称其他使用此类安全认证标准的网站上也存在此类问题,包括 Facebook 和 Google 。 漏洞归结于 PayPal 如何处理返回的应用程序授权认证令牌即 REDIRECT_URI 参数。 开发人员可通过特定 dashboard 注册应用使用 PayPal 支付服务,之后应用可生成令牌请求并发送到中央授权服务器,服务器会制定返回参数 REDIRECT_URI 正常情况: redirect_uri=https://demo.paypal.com/loginsuccessful&nonce=&newUI=Y 但是由于 PayPal 可使用 localhost 作为 REDIRECT_URI 参数。 将返回页面重定向至黑客自己设置的 localhost 页面 redirect_uri=http://localhost.intothesymmetry.com/&nonce=&newUI=Y 黑客可从自己的页面中提取 PayPal 返回的支付请求中的认证令牌信息, 研究员称早在九月就将漏洞报告到 PayPal ,但 PayPal 回应说:“这不是一个漏洞”。PayPal 分析了报告,并最终在 11 月份发布更新,研究人员也获得了相应赏金。 稿源:本站翻译整理,封面来源:百度搜索

Mozilla 和 Tor 释出紧急更新修复正被利用的 0day 漏洞

Mozilla 和 Tor 释出了紧急更新修复了正被利用去匿名 Tor 用户的 0day 漏洞。该漏洞只影响Windows 版本, OS X 和 Linux用户不受影响。根据 Firefox v50.0.2的发布公告,该漏洞编号为 CVE-2016-9079,被标为高危漏洞,除了影响 Firefox 外,还影响 Thunderbird 邮件客户端,以及基于 Firefox 扩展支持版的 Tor 浏览器。与该漏洞相关的 bug 被认为已经在 Firefox 代码中存在了五年之久。由于漏洞利用代码是被用于去匿名 Tor 用户的身份,因此它被怀疑是执法机构如 FBI开发的。 稿源:solidot奇客,封面:百度搜索  

Firefox 0-day 漏洞被用于攻击 Tor 用户

Tor 项目邮件列表 披露 了一个正被利用执行恶意代码的 Firefox 0-day 漏洞。Mozilla 随后证实正对此开发补丁。漏洞利用代码利用了一个堆溢出 bug 在 Windows 电脑上执行任何代码。独立安全研究人员分析了漏洞利用代码后发现,其执行的恶意负荷与 FBI 用于去匿名访问儿童色情网站的 Tor 用户身份的代码基本相同。受影响的 Firefox 版本从 v41 到最新版的 v50,其中包括 Tor browser 使用的长期支持版 v45 ESR。恶意代码需要使用 JavaScript,继续使用 Firefox 和 Tor 的用户最好关闭 JavaScript。 稿源:solidot节选,封面来源:百度搜索