分类: 安全快讯

Adobe 发布安全更新 修复 Acrobat 和 Reader 中 39 个关键漏洞

在今天发布的安全更新中,Adobe 修复了存在于 Acrobat 和 Reader 软件产品中 39 个“关键”级别漏洞。潜在的黑客利用这些漏洞,可以在尚未修复的系统上执行任意代码。其中 36 个漏洞涵盖堆溢出、越界写入(out-of-bounds write)、UAF (Use After Free)漏洞、未信任的指针取消和缓存区错误等,可在受感染设备上执行任意代码;另外 3 个则是安全绕过漏洞,能在入侵后进行提权。 Adobe 的 APSB18-41 安全公告中披露的细节,目前受到这些安全漏洞影响的产品版本包括 Acrobat DC (Continuous, Classic 2015), Acrobat 2017, Acrobat Reader DC (Continuous, Classic 2015) 和 Acrobat Reader 2017。Adobe 在他们的支持网站上说,被评为“关键”的漏洞可能允许攻击者成功利用这些漏洞后执行恶意代码,而当前登录用户很可能不知道系统已被入侵。 Adobe 表示:“目前尚未有数据表明有黑客利用这些漏洞发起攻击。根据以往的经验,我们预计攻击不会即将到来。最佳做法就是 Adobe 建议管理员尽快安装更新(例如,在 30 天内)。”此外 Adobe 还修复了存在于 Acrobat 和 Reader 软件产品中 49 个“重要”级别漏洞,涵盖安全绕过、越界写入等等。       稿源:cnBeta,封面源自网络;

Sophos 发布 2019 年网络安全威胁分析报告,勒索软件成领头羊

最近,网络安全公司Sophos发布了一个深度调研报告,对接下来2019年将出现的网络威胁向互联网用户和企业做出预警。下面是报告所提到的部分主要威胁:   勒索软件是“领头羊” 和传统“广撒网式”发送海量恶意邮件不同,这种勒索软件的攻击是“交互式”的,发布者不再是机器,其背后的人类攻击者会主动发掘和监测目标,并根据情况调整策略,受害者不交钱不罢休。 2018年见证了定向勒索攻击软件的发展,如WannaCry、Dhrma和SamSam,网络犯罪者藉此已获利上百万美元。Sophos的安全专家认为,这种经济上的成功将大大刺激同类网络攻击的出现,并且会在2019年频繁发生。 如果不进行充分的渗透测试,提高数据安全的等级,那么勒索软件在接下来的一年将造成深远的影响。   物联网安全隐患风险增加 随着更多设备加入了物联网,网络攻击者开始扩大他们的攻击范围和工具。如非法安卓软件数量的增加,让勒索软件将注意力转向了移动电话、平板电脑和其他智能设备。而随着家庭和企业拥有越来越多可联网设备,犯罪者开始发明新的手段劫持这些设备作为巨型僵尸网络的节点,如Mirai Aidra、Wifatc和Gafgyt。2018年,VPNfilter证明了武器化的物联网对嵌入式系统和网络设备的巨大破坏力。   连锁反应机制的应用 一系列事件连续发生时,黑客会在其中一个节点渗入系统。由于一系列连续发生的事件没有清晰可见的脉络,因此在很多时候,想搞清楚黑客将在何时给出一击是不可能的。   永恒之蓝成为了挖矿劫持攻击的关键工具 虽然微软在1年前便发布了补丁来处理永恒之蓝的漏洞问题,但它依然是网络犯罪者的“心头好”。Sophos称,永恒之蓝漏洞和挖矿软件的致命结合会造成损害。   对于中小型企业而言,想要完全规避这些安全威胁随便比较困难,但依然可以合理避免,如建立健全的安全防御机制、使用正规有效的安全防御软件、规范系统管理者的权限、谨慎对待陌生或可疑的邮件、规范密码的使用、不重复使用密码、及时更新漏洞补丁等。当然,更省事的方法是选用可信任的安全服务公司创建更具有针对性、更全面的安全解决方案。 知道创宇云安全作为国内最早的云防御平台,以全面的Web安全解决方案满足不同网站在线业务安全需要,全国超过90万家网站正在使用知道创宇云安全旗下安全解决方案,以旗下王牌产品创宇盾、抗D保等为企业安全筑起一道坚固的防护墙。   编译:创宇小刘,编译自外网新闻及Sophos报告;

有“安全锁”的网页≠合法安全 一半钓鱼网页都用上了 HTTPS

在以往的网购指南中,往往推荐用户访问带有“安全锁”(Chrome 68开始默认不显示,所有HTTP网页标记不安全)的电商网站,可以极大地免受网络钓鱼攻击或者恶意软件陷阱。然而不幸的是,这条推荐的意义已经不大了。最新研究结果表明,一半的钓鱼欺诈行为现在都托管在以“https://”开头标记有安全锁的网页上。 根据反网络钓鱼公司PhishLabs的最新数据,2018年第3季度中有49%的网络钓鱼站点在浏览器地址栏上都显示“安全锁”图标。而去年同期占比为25%,2018年第2季度占比为35%。这组数字的增长令人担忧,因为PhishLabs在去年的调查中发现,超过80%的受访者都认为带有“安全锁”的往往是合法的、安全的。 实际上,网址启用https://(也称Secure Sockets Layer,SSL),仅仅表示你在访问该网址所来回传输的数据,以及该网站已经加密,无法被第三方读取。显示“安全锁”并不意味着该网站就是合法,也不是表明该网站是否经过安全加固以阻止黑客入侵的证据。 该公司首席技术官John LaCour说:“PhishLabs认为网络钓鱼者同样可以使用SSL证书,最重要的是SSL的存在或者缺失并不能告诉你有关网站合法性的任何信息。”   稿源:cnBeta,封面源自网络;

防御 DNS 攻击成本报告:机构 2018 年平均损失 71.5 万美元

根据研究公司 Coleman Parkes 从全球 1000 家机构采样得来的数据,2018 年间,77% 的机构遭受了至少一次基于 DNS 的网络攻击。调查采样的企业,涵盖了活跃于通信、教育、金融、医疗保健、服务、运输、制造、公共、以及零售事业的组织机构。在全球范围五大基于 DNS 的攻击中,恶意软件和网络钓鱼占据了榜单前二的位置;而域名锁定、DNS 隧道与 DDoS 攻击,也造成了极大的影响。 2017~2018 年间,DNS 攻击导致的损失,已增加 57% 。 EfficientIP 在《2018 DNS 威胁报告》中写到:“思科 2016 安全报告发现,91% 的恶意软件利用了解析服务(DNS)。它们壳借助 DNS 这个载体(DoS 放大或 CnC 服务器通信),对目标、甚至 DNS 服务器发起攻击”。 2017 年的时候,网络钓鱼甚至不是最常遇到的五种基于 DNS 的攻击类型。但 2018 年间,欺诈者已经大量通过定向和定制活动,来提升针对特定行业部门的网络钓鱼受害率。 通过分析调查期间收集到的数据,Coleman Parkes 发现:不法分子已将基于 DNS 的攻击,作为一种相当有效的工具,可对其行业目标造成广泛的品牌和财务损失、产生短期和长期的影响。 受 DNS 攻击所影响的组织,平均损失较上一年增加约 57% —— 从 2017 年的 45.6 万美元,到了 2018 年的 71.5 万美元 —— 这一点尤其令人感到不安。 考虑到所有因素,虽然 DNS 攻击从一个行业部门、转到另一个行业部门的影响差异很大。但对所有组织机构来说,部署恰当的 DNS 攻击检测和防护措施,仍然是至关重要的。   稿源:cnBeta,封面源自网络;

知道创宇推出国内首家 IPv4/IPv6 双栈云防御服务

11月20日消息,知名互联网安全公司知道创宇正式对外宣布,发布国内首个IPv4/IPv6双栈云防御服务。该服务的推出可以帮助企业极大的加快业务系统向IPv6升级的进程,从IPv4向IPv6的改造方案到IPv6业务系统安全防御上向企业提供了一站式的解决方案。   据了知道创宇云防御产品经理邓金城介绍,IPv4/IPv6双栈云防御服务只需要2分钟即可帮助客户做到业务系统支持IPv6并且可以有效防御黑客入侵、DDoS网络攻击,整个过程不需要客户业务系统做任何改造。     2017年11月26日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,根据该计划要求,到2018年末,国内IPv6活跃用户数要达到2亿,国内用户量排名前50的商业网站及应用户、省部级以上政府和中央企业外网系统、IDC数据中心等均要完成IPv6支持。据阿里巴巴发布的公告,今年双11,天猫进行了国内首次IPv6大规模商用实战,IPv6在国内的普及势在必行。     而对企事业单位来说,各种系统往往承载着重要业务数据,系统改造升级慎之又慎,往往因为担心影响业务稳定而放弃升级,这还包括即使支持了IPv6但原有防火墙设备不支持IPv6,网站无疑陷入巨大安全风险中。然而国内的IPv6升级已经正式大规模开展,如何抢先一步,而不是IPv4用户向IPv6升级后,网站客户流失,成为一个两难的问题。知道创宇IPv4/IPv6双栈云防御服务的推出刚好可以解决这个燃眉之急。   详细了解创宇IPv4/IPv6双栈云防御服务:https://www.yunaq.com/ipv6/  

Firefox 新增预警功能,自动提醒用户网站有过数据泄露

Mozilla 近日宣布 Firefox Quantum 浏览器新增了一项新的安全功能,在用户访问以前存在数据泄露的网站时会自动显示来自 Firefox Monitor 的警告。 该功能旨在提醒用户可能存在的问题,并建议他们检查自己的电子邮件,看看是否有遭到泄露。 当出现警报时,用户可单击 Check Firefox Monitor 按钮转到 Firefox Monitor 站点,或单击 Dismiss 按钮关闭警报,也可以单击向下箭头选择 “never show Firefox Monitor alerts ” 以禁用此功能。 根据 Mozilla 的说法,该预警功能并非侵入性的,每个站点最多只出现一次,而且仅针对过去12个月内有出现过数据泄露事件的网站。 Firefox Monitor 是一项免费的隐私数据泄露通知服务。要使用它,只需访问 Firefox Monitor 网站并提交电子邮件地址即可。它通过和 “Have I Been Pwned” 中超过31亿个已确认出现安全问题的庞大数据库进行比对,在发现问题时及时提醒用户。   稿源:开源中国,封面源自网络;

研究发现了七个新的“幽灵”与“熔毁”安全漏洞 现有补丁或可抵御

针对 CPU 底层设计缺陷的“幽灵”(Spectre)和“熔毁”(Meltdown)漏洞,让科技界陷入了相当尴尬的境地。为了应对这类特殊的安全威胁,业界协同使出了空前的努力,并推出了相应的补丁 —— 即便可能造成性能上的一定损失。遗憾的是,后续又不断有新的变种曝光。本文要介绍的,就是由 9 人研究团队发现的 7 种新式攻击手段。 由概念演示代码可知,其中两种攻击利用了‘熔毁’漏洞: Melrdown-BR 可利用 AMD 与 Intel 处理器中的 x86 指令路径,而 Meltdown-PK 仅能绕过英特尔处理器上的内存保护密钥。 实际上,研究人员开发出了 8 种‘熔毁’漏洞攻击手段,但尚未让剩余的 6 种攻击手段发挥作用。 其余五个新漏洞都属于‘幽灵’变种,它们会影响 Intel、AMD、ARM 处理器。 其中有两个利用了分支目标缓冲区(Branch Target Buffer)、另三个则利用了模式历史表(Pattern History Table)。 研究人员已向各大芯片供应商通报了上述攻击,但收到的答复并不能让他们满意 —— 英特尔觉得没必要推送新的补丁、AMD 甚至不承认相关结果。 英特尔发表声明称,文章中纪录的漏洞,可通过部署现有的缓解措施来完全克服。 保护客户仍是我们的首要人物,在此要感谢格拉茨科技大学、imec-DistriNet、KU Leuven、以及威廉玛丽学院等团队正在进行的研究。 根据他们的研究,一些现有的补丁‘可能有用’,但不全然如此。 然而英特尔声称,他们的实验过程存在错误,在现实情境下无法成功实施攻击。 即便如此,研究人员还是决定忽略英特尔方面的说辞,在研究论文(PDF)中概述了如何修补上述漏洞。 【PS】“幽灵”漏洞打破了不同应用程序之间的隔离,即便是遵循最佳实践的无 bug 程序,其秘密亦有可能被泄露于攻击者面前。 尽管目前尚未有利用‘幽灵’或‘熔毁’漏洞发起的实际攻击报告,但我们还是推荐大家努力将设备保持在最新状态,以封堵这方面的隐患。 [编译自:TechSpot]     稿源:cnBeta.COM,封面源自网络;

调查:85% 的 ATM 机可以在 15 分钟内通过网络被攻破

据外媒报道,由NCR、Diebold Nixdorf、GRGBanking生产和被银行使用的大部分ATM机被证实很容易被远程或本地潜在攻击者攻击,并且大部分的攻击所需时间不超过15分钟。来自Positive Technologies的分析显示,ATM机在从外围设备和网络安全不充足到系统/设备不当配置以及应用程序控制安全漏洞/配置错误等4种安全问题下极易受到影响。 据悉,在NCR、Diebold Nixdorf、GRGBanking制造的ATM机中约有85%都极易在潜在攻击者进入ATM网络15分钟后被攻破。 Positive Technologies公司表示,如果攻击者是银行或互联网供应商的雇员,他们可以通过远程发起攻击,而如果不是则需要攻击者亲自到场打开ATM机,拔掉以太网电缆并将恶意设备连接到调制解调器(或用这样的设备替换调制解调器)。 在进入ATM后,攻击者就可以使用针对ATM或运行在ATM上的服务的直接攻击或中间人攻击,之后他们就可以拦截和修改数据包以欺骗处理中心响应并控制被包围的设备。 大多数接受测试的ATM机在与处理中心交换的信息中不具备充分的数据保护,虽然它们都带有防火墙保护,但不幸的是它们的防火墙保护配置都很差。 Positive Technologies指出,在许多情况下,外围设备安全性不足的原因是外围设备和ATM操作系统之间缺乏认证。因此,犯罪分子能够利用遭恶意软件感染的ATM机访问这些设备或直接将他们自己的设备连接到分发器或读卡器上,之后,犯罪分子就可以窃取现金或拦截银行卡数据。   稿源:cnBeta,封面源自网络;    

下一代 HTTP 底层协议将弃用 TCP 协议 改用 QUIC 技术

新浪科技讯,据中国台湾地区iThome.com.tw报道,国际互联网工程任务组(Internet Engineering Task Force, IETF)将于近日商讨下一代HTTP底层协议,可能不再使用已经沿用多年的TCP协议,而有望改用以UDP协议发展出的QUIC技术,同时新一代HTTP将命名为HTTP/3。 目前,人们使用的HTTP (1.0、1.1及2)都是以TCP (Transmission Control Protocol)协议为基础实作出来。TCP作为一种传输控制协议,优点是安全、流量稳定、讲求封包的传输顺序,但缺点是效率低、连接耗时。为了提升数据在IP网络上的传输,Google提出了实验性网络层协议,称为QUIC。 QUIC并不使用TCP,而改用UDP (User Datagram Protocol)为底层,UDP虽然较不安全、可能有掉封包或封包后发先至的问题,但较简单、传输效率更高,能大幅减低延迟性。Google为QUIC提升安全性、并加入缓冲机制避免阻断服务攻击(DoS)。 虽然Google有意将QUIC提交到IETF,以便成为下一代网际网络规范,但IETF也提出了一个和Google QUIC分庭抗礼的QUIC。社区中称Google提出的QUIC为gQUIC,而IETF的为iQUIC。 另一方面,当IETF的QUIC工作小组将QUIC标准化时,它衍生出共两个协议,一个是网络传输协议,一个是HTTP层协议。网络传输层协议也可用于传输其他数据,不只为HTTP设定,但两者名称都使用了QUIC;而在iQUIC上传输的HTTP协议,长期以来就被称为HTTP-over-QUIC,或HTTP/QUIC。 为了解决种种混淆,让彼此之间更容易分别,IETF决定加以正名。HTTP工作小组暨QUIC工作小组主席Mark Nottingham倡议将HTTP-over-QUIC(HTTP/QUIC)重新命名为HTTP/3,并在上周举行的IETF HTTPBIS会议中提议,并且也广为接受。 Mozilla开发人员Daniel Stenberg日志列出了Nottigham在会中的简报,简报重申HTTP/3和之前协议之间的差异。HTTP/QUIC(HTTP/3)并非HTTP/1.1或HTTP/2的后代,也不是QUIC上的HTTP/2协议,因为它是在QUIC协议上新开发出的HTTP。下一代HTTP将是以QUIC为核心及网络传输协议的新协议。 Litespeed的工程师也宣布该公司和脸书已经完成HTTP/3实作的相容性测试。   稿源:新浪科技,封面源自网络;

第一份 Android 生态安全报告出炉:系统越新越安全

Google 公布了史上第一份 Android 生态系统安全报告(Android Ecosystem Security Transparency Report),这是一份季报,内容来自于 Google Play Protect 所检测到的“可能存在危险的应用程序”((Potentially Harmful Applications,PHA),内容显示 Google Play 下载的应用程序比其他渠道安全9倍。 之前,Google 会提供 Android 年度安全报告,其中包含Android 系统安全趋势、Google 提供的 Android 漏洞奖金,以及在 Android 上提供的保护机制等。而此次季度报告主要针对 PHA。 Android 内置的 Google Play Protect 平均每天扫面500亿的应用,当发现可能存在危险的应用时,就会对使用者提出警告,并允许使用者关闭或下载该程序。每季的季度报告都提供三项指标,分别是 PHA 的来源(Google Play 及非 Google Play),各种 Android 版本所包含的 PHA 比率,以及不同国家的 Android 系统的 PHA 比率。 Google 表示,从 Google 下载程序的 Android 设备,只有 0.09% 会识别到 PHA,今年前三季下降到了 0.08%;相比之下,从包含 Google Play 和第三方应用市场下载程序的设备,检测到 PHA 的比率高达 0.82%,不过,今年前三年也出现了下滑,数值到 0.68%。 Google 还表示,越新的 Android 系统检测到 PHA 的比率越低,如,棒棒糖(Lollipop,Android 5.0)检测到 PHA 的比率 > 棉花糖(Marshmallow,Android 6.0)> 牛轧糖(Nougat,Android 7.0)>奥利奥(Oreo, Android 8.0)> 最新的“派”(Pie,Android 9.0)。 Google 解释说,这是因为公司持续加强 Android 平台和 API,加上常规平台和程序更新,也限制了程序对机密信息的访问。此外,包括Nougat,Oreo 和 Pie都更能够承受权限扩展攻击,让过去尝试扩展权限以避免被删除的 PHA 无处遁形。 而在 Android 的前十大市场,至少安装一个 PHA 的装置百分比中,以印度,印尼及美国的比率最高。 完整的安全生态报告看这里。   稿源:开源中国,封面源自网络;