分类: 漏洞事件

康师傅产品抽奖编码泄漏,10 万乐视会员兑换码被黑产套现

康师傅产品瓶盖编码泄露,黑产套现抽奖活动,大量乐视会员兑换码奖品被低价出售。 记者调查发现,康师傅、乐视联合举办“开盖赢好礼 天天开新机”活动,活动期间,康师傅的促销装产品瓶盖处均有 13 位编码,该编码可以在康师傅活动界面参与抽奖,奖品包括乐视电视、乐次元影视会员体验包。然而,不计其数的瓶盖编码泄露后,有人开始编写软件自动生成瓶盖编码并参与抽奖,目前已经抽出来至少 10 万个乐视会员的兑换码。 乐视会员的兑换码因此泄露,并被黑产从业者在几个平台、QQ 群中倒卖,购买之后可以在乐视官网输入兑换码激活,获得一个月的乐视会员”。乐视影视包月会员的官方售价为 15 元,而乐视兑换码在黑市的售价最开始为 3 元/个,“但随着泄露数量越来越大,黑市竞争越来越激烈,目前该兑换码的批发价已经降至 8 毛钱/个。” 目前,康师傅、乐视尚未对此事作出回应,部分在卡奥网出售乐视会员的链接已经删除,但仍有链接继续销售。 稿源:cnbeta,有删改,封面来源:百度搜索

三星智能摄像头存在漏洞 可被黑获得 root 权限

安全人员在三星智能摄像头当中发现一个新的安全漏洞,攻击者借此可以获得 root 权限,并且远程运行命令。三星智能摄像头从本质上讲是一个 IP 摄像头,它允许用户从任何地点使用三星自家的服务连接并查看实时视频或记录事件,提供了无缝的婴儿或宠物监控、企业和家庭的安全监控。 exploitee.rs 网站公布了三星智能摄像头当中存在的一个漏洞,可以允许攻击者使用三星上次为智能摄像头修复漏洞而无意留下的一个 web 服务器,获得对设备的 root 访问权限。具体而言,三星试图通过去除本地网络接口,并迫使用户访问 SmartCloud 网站来修复设备的安全漏洞,但在同一时间,该公司还继续让服务器功能在本地运行。而事实证明,一个可能的漏洞使攻击者通过推送定制固件文件连接到这个 Web 界面。 该 IWATCH install.php 漏洞可以通过制定专门的文件名,然后存储在 PHP 系统调用 tar 命令加以利用。由于 Web 服务器作为 root 运行,文件名由用户提供,输入时没有安全处理,黑客可以内注入自己的命令来实现 root 远程命令执行。 目前,三星尚未出台新的漏洞补丁来修复智能摄像头存在的这个漏洞。 稿源:cnBeta.com;封面:cnBeta

Windows 10 升级 Bug 导致 Bash 的 Ctrl-C 失效

微软最近释出的Windows 10 测试版 Insider build 15002 为  Windows Subsystem for Linux (WSL) 带来了大量变化,微软无疑是想要打造一个Linux 发行版的 Windows 替代。但 Windows 成为一个可靠的 Linux 生产环境还有一段距离,因为 Build 15002 引入了一个严重bug:导致 Ctrl-C 快捷键在 Bash 会话里无法工作。对于使用 Bash 的专业人士来说,这就相当于驾驶一辆没有后刹车的汽车。 最新版本的 Bash in Window 支持内核内存过量使用和网络栈选项,增强了WSL 与 Windows 的整合。对于新的 bug,微软表示将会在下一版本中修复。 稿源:cnbeta.com;封面:cnBeta

WhatsApp 后门可允许窥探加密信息

Facebook 旗下的移动消息应用 WhatsApp 启用了端对端加密,此前官方声称没有人能拦截 WhatsApp 消息,即使它自己也不能。但最新研究显示,WhatsApp 实现端对端加密的方式让它实际上能阅读加密消息。 WhatsApp 的端对端加密是基于 Signal 协议,通过生成独一无二的密钥加密消息。然而 WhatsApp 能强行为离线用户——在发送者和接收者未察觉的情况下——生成新的密钥,用新密钥重新加密消息,发送任何没被标记接收到的消息。这种重新加密和重新发送的方法事实上能让 WhatsApp 拦截和阅读用户的消息。这一后门是加州伯克利的安全研究员 Tobias Boelter 发现的。Signal 协议不存在该后门。 稿源:solidot奇客,有删改;封面:百度搜索

黑客可通过钓鱼攻击窃取浏览器自动填充的私人信息

安全人员发现,黑客通过网页上设置的隐藏文本框即可盗取浏览器自动填充密码管理器当中的私人信息。芬兰的 Web 开发人员和黑客 Viljami Kuosmanen 发现, Chrome、 Safari 和 Opera 等浏览器及一些插件(如 LastPass)可被欺骗,通过它们基于配置文件的自动填充系统,将用户个人信息泄露给黑客。 这种网络钓鱼攻击极其简单。Kuosmanen 发现,当用户试图填充网页上一些纯文本框,如姓名、电子邮件地址等等,自动填充系统会发挥作用,其目的是避免标准信息等乏味重复填写,它将基于用户档案的信息自动填充到任何其它文本框当中。 这意味着,当用户访问一个貌似无辜的网站,如果用户确认进行自动填充,上述浏览器的自动填充系统将放弃更多的敏感信息,如电子邮件地址,电话号码,邮寄地址,组织信息,信用卡信息以及其他各种零零碎碎的存储数据。 Mozilla 的 Firefox 火狐浏览器没有此类问题,因为它还不具备多箱自动填充系统。目前该钓鱼攻击仍然依赖于诱使用户访问恶意钓鱼网站填写个人信息。用户可以通过禁用浏览器的自动填充系统保护自己免受这种威胁的侵害。 稿源:cnbeta,有删改,封面来源:百度搜索。

域名注册商 GoDaddy 发现代码漏洞,强制撤消六千名客户 SSL 证书

知名互联网域名注册商 GoDaddy 发现域名验证过程存在漏洞后,立即撤消了 6000 多个客户的 SSL 证书,并开始重新签发证书。 事件详情 GoDaddy 在 1 月 10 日发布公告表示,该漏洞出现于 2016 年 7 月 29 日,GoDaddy 在例行代码更新改进证书颁发过程中意外地引入了 bug ,导致域名验证过程失效。自去年七月起至今年一月十号,在此期间约 2% 已颁发的证书( 6100 名客户)受到影响。目前漏洞已经修复,问题证书已经撤销,对于受影响的客户将免费重新签发 SSL 证书。 漏洞原理 当证书机构( GoDaddy )验证 SSL 证书域名时,机构会向客户提供一个随机代码,并要求他们将其放置在其网站上的特定位置,域名系统会搜索代码并完成验证。然而,由于 GoDaddy 代码错误,某些 Web 服务器配置会导致系统搜索结果判定异常,系统即使找不到代码也会验证成功。 事件影响 即使 GoDaddy 撤销了网站的 SSL 证书,受影响网站的 HTTPS 加密仍将起作用。在网站安装新的证书之前,访问者可能会在其浏览器中看到警告提示框。GoDaddy 正在免费签发替换证书并对此向客户发送邮件道歉。验证失效是一个很严重的事情,黑客可利用该漏洞欺骗域名注册商 GoDaddy 运行其 SSL 证书,伪装成合法网站,传播恶意软件或窃取个人信息,如银行凭据。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

Android “启动模式” 漏洞曝光:或致设备被窃听

Android 曝光了一个严重的“启动模式”漏洞,尽管攻击者需要通过复杂的过程来入侵调制解调器和监听通话,但 IBM 团队已经证实了漏洞利用的可行性。好消息是,Google 已经修复了 Nexus 6 / 6P 智能机上的这一“高危漏洞”,此前攻击者可以通过 USB 连接,在启动过程中接管板载调制解调器,随后窃听电话和拦截移动数据包。 CVE-2016-8467 是 IBM X-Force 安全研究人员发现的多个安全漏洞之一,该“手机启动模式”漏洞利用被恶意软件感染的 PC(或恶意电源适配器)来隐匿访问 USB 接口。该漏洞还可以访问到手机确切的 GPS 坐标、详细的卫星信息、呼叫地点、窃取呼叫信息、访问或改动 EFS 分区上的“非易失性项目”。不过,漏洞利用的激活过程相当复杂。 稿源:cnbeta,有删改,封面来源:百度搜索

美国 FDA 正式警告:植入起搏器和心血管仪器存严重安全性问题

美国食品和药物管理局( FDA )近日发出警告:确认心血管设备生产商圣犹达医疗( St Jude Medical )的部分产品存在网络安全性问题,其生产的特定型号起搏器和心血管仪器产品极易被黑客侵入。此前信息安全研究员工也早已警告此类情况,在去年九月 FDA  曾计划彻查心血管设备生产商 St Jude 的产品安全性问题。而现在是首个由 FDA 发出的正式警告,这或将对圣裘德医疗的股价产生极大影响。 FDA 指出,脉冲发生器/起搏器可以被经过恶意修改的 St Jude 自家的数据传输器 Merlin@home 入侵,Merlin@home 适用于兼容的 St. Jude Medical 植入式脉冲发生器的患者,可从植入的脉冲发生器中读取数据,并将数据发送到医院可从中进行查看的服务器上。但是数据非常容易被篡改,恶意代码容易引起植入的脉冲发生器中止工作,危及患者生命。 FDA 提醒所有使用 Merlin@home 数据传输器和兼容植入式脉冲发生器的患者立即联网进行固件更新。 稿源:cnbeta,有删改,封面来源:百度搜索

邮件发送工具 PHPMailer 曝高危远程代码执行漏洞

波兰安全研究员 Dawid Golunski 发现流行的邮件发送工具 PHPMailer 存在严重漏洞 (CVE-2016-10033),允许攻击者远程在 web 服务器环境中执行任意代码,对目标 Web 应用程序造成危害。攻击者可利用 PHPMailer 漏洞针对需发送邮件的普通网站组件。如反馈表单、注册表单、邮件密码重置表单等。PoC详情 PHPMailer 是一个强大的 PHP 编写的邮件发送类。全球有超过 900 万用户使用该工具,数百万 PHP 网站和开源 Web 应用程序包括 WordPress、Drupal、1CRM、Joomla 都使用它发送邮件。该工具还能发送附件和 HTML 格式的邮件,同时还能使用 SMTP 服务器来发送邮件。 漏洞影响 PHPMailer 5.2.18 之前的版本都受到影响。 漏洞修复 PHPMailer 的供应商紧急修复漏洞发布最新版本 PHPMailer 5.2.18,用户需及时更新升级避免被恶意利用。   稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国 Netgear WNR2000 路由器曝多个漏洞,可获取管理员密码、远程劫持设备

安全研究员 Pedro Ribeiro 发现美国 Netgear 路由器 WNR2000 存在多个漏洞。如果路由器开启了远程管理功能,攻击者可利用漏洞获取管理员密码、完全控制受影响设备。 安全研究员在 11 月 29 日收到 CERT 回复称 NETGEAR 不理睬漏洞报告并建议公布漏洞信息。 专家表示, NETGEAR WNR2000 路由器允许管理员通过一个名为 apply.cgi 的 CGI 脚本在 Web 管理界面执行敏感操作。研究员逆向分析脚本发现,另外一个函数 apply_noauth.cgi 可允许未经身份验证的用户在设备上执行相同的敏感的操作,如重启路由器、恢复出厂设置。研究员还发现函数 URL 中可添加“时间戳”变量从而执行其他功能,如改变互联网无线局域网设置或检索管理员密码,攻击者再结合信息泄漏的相关漏洞,有很大可能恢复管理员密码。该密码可用来启用路由器的 telnet 功能,如果攻击者和设备在同一局域网内,攻击者可远程登录路由器并获得 root shell 。 重新启动路由器代码: ==== POST /apply_noauth.cgi?/reboot_waiting.htm HTTP/1.1 Host: 192.168.1.1 Content-Type: application/x-www-form-urlencoded Content-Length: 26 submit_flag=reboot&yes=Yes ==== 最后研究员还发现了一个堆栈缓冲区溢出漏洞。最终未经认证的攻击者可结合利用栈缓冲区溢出漏洞、apply_noauth.cgi 问题以及时间戳识别攻击,获得该设备的完全控制权并在局域网或广域网中的远程执行代码。 开启远程管理功能后受影响的版本: WNR2000v5,所有固件版本(硬件确认) WNR2000v4,所有的固件版本(仅由静态分析确认) WNR2000v3,所有的固件版本(仅由静态分析确认) 此前,Netgear 路由器 R7000 和 R6400 型号也被报出存在任意命令注入漏洞。 稿源:本站翻译整理,封面来源:百度搜索