分类: 安全快讯

微软将防病毒软件添加到 Office 应用程序以解决宏恶意软件问题

微软已将所有Office应用程序与防病毒软件集成,以防止出现宏恶意软件攻击。该公司正在使用反恶意软件扫描接口(AMSI)来处理嵌入在文档中的VBA宏。最近,我们报道了黑客如何使用微软Excel文档来执行CHAINSHOT恶意软件攻击。这些类型的攻击越来越普遍,黑客可以轻松访问受害者的计算机。 各种防病毒公司已经添加了新的AMSI接口,以防止通过恶意JavaScript,VBScript和PowerShell进行攻击。当调用潜在的高风险函数或方法时,Office会暂停宏的执行,并通过AMSI接口请求扫描到那时记录的宏行为。 微软未来指出,解决方案可能并不完美,但好过什么话也没有。也就是说,由于微软正在使用ATP和WindowsDefender,因此可以共享结果并阻止新的威胁。默认情况下,在支持VBA宏的所有Office 365应用程序中启用Office AMSI集成,包括Word,Excel,PowerPoint和Outlook。微软将扫描所有宏,除非它们由受信任方签名或者在受信任位置打开。   稿源:cnBeta,封面源自网络;

Facebook 低调开发 AI 技术工具:自动扫描代码找漏洞

新浪科技讯 北京时间9月14日上午消息,Facebook低调开发和部署了一种名为SapFix的人工智能(AI)工具,可以自动扫描代码,寻找漏洞,然后测试不同的补丁,并向工程师推荐最佳修补方案。 这款工具是在Facebook的@Sacle工程大会上宣布的,目前已经应用于Facebook庞大的代码库。该公司还计划最终向外部开发者分享该工具。 “据我们所知,这是第一次通过自动的端对端测试和修补,在Facebook这种规模的代码库中部署机器生成的修复方案。”Facebook开发者工具团队写道,“这是AI混合模式的重要里程碑,可以进一步证明基于搜索的软件工程可以降低软件开发阻力。” SapFix既可以与Sapienz配合使用,也可以独立使用,Sapienz是Facebook之前的自动化漏洞发现工具,与SapFix配合使用时,可以针对Sapienz发现的问题推荐解决方案。 这些工具可以帮助小团队开发更加强大的产品,也可以帮助大公司节约很多浪费在技术上的时间。对于Facebook这种还有很多其它问题需要处理的公司来说至关重要。   稿源:新浪科技,封面源自网络;

谷歌接受批评:新版 Chrome 恢复显示域名中的 www

日前,谷歌为庆祝 Chrome 浏览器10周年,发布了全新的 Chrome 69 正式版,带来了全新的 Material Design 等特性。不过,新版 Chrome 隐藏域名中的 www 遭到了用户批评,并认为会带来安全问题。 Chrome 69 隐藏了网址中的 HTTP/HTTPS,用户随后又发现 Chrome 69 还会隐藏网址中的 WWW,也就是 www.google.com 在地址栏显示的是 google.com。此举引发了争议。WWW 被 Chrome 视为是无关紧要的子域名。但 www.example.com 和 example.com 是有区别的,它们很可能是不同的网站,有着不同的 DNS 记录。Google 的做法被认为会带来安全问题。 对于用户的批评和担心,谷歌坦然接受,并对 Chrome 浏览器作出了更改,在9月12日发布的最新版 Chrome v69.0.3497.92 默认设置中,已经弃用了不再显示协议名称的功能,恢复显示域名中的 www。   稿源:开源中国,封面源自网络;

微软和苹果浏览器漏洞:不改变地址即可改变网页内容

新浪科技讯 北京时间9月12日早间消息,据美国科技媒体The Register报道,安全研究人员发现Edge和Safari浏览器存在漏洞,恶意者可以利用漏洞发起攻击,在不改变地址的情况下改变网页内容。 安全研究人员拉菲·巴罗奇(Rafay Baloch)指出,微软已经用补丁修复漏洞,不过苹果行动迟缓,所以目前Safari仍然不安全。 通过漏洞,攻击者可以加载合法页面,让网页地址在地址栏显示,然后快速将页面内的代码转换为恶意代码,地址栏中的URL地址无需改变。这样一来,攻击者可以创建虚假登录屏幕或者其它表格,收集用户名、密码及其它数据,用户很难区分真假,他们会认为自己登录的页面是真实的。 浏览器的源码是封闭的,巴罗奇不清楚Edge和Safari存在该漏洞,但Chrome和火狐没有的原因。照他的猜测,浏览器决定何时显示页面地址可能是问题的关键。巴罗奇说:“不同的浏览器处理导航的手法并不一样,当页面正在加载时,Safari、Edge浏览器允许代码更新。浏览器可以允许地址栏在页面完全加载之后更新一次,这样就可以解决问题了。” 微软目前已经修复漏洞。6月2日巴罗奇向苹果提交报告,至今还没有修复。按照惯例有90天的时间窗口,巴罗奇说他会披露漏洞,但是在苹果发布补丁之前不会公开代码。   稿源:新浪科技,封面源自网络;

Chrome 中存在 Wi-Fi 漏洞,谷歌原本并不打算修复

网络安全和渗透测试咨询公司 SureCloud 的研究人员发现谷歌 Chrome 和 Opera 浏览器存在漏洞,可使 Wi-Fi 受到攻击。 研究人员表示,基于 Chrome 内核的浏览器可以保存 Wi-Fi 中路由器管理页面凭据并自动重新输入,以方便用户使用,而由于大多数家用路由器不使用加密通信进行后台管理,这使得研究人员能够利用这种自动凭证重新登录,达到窃取路由器登录凭据并使用它们捕获 Wi-Fi 密码(PSK)的目的。研究人员还提供了一段漏洞利用的演示视频:https://youtu.be/YW0drHztgJY 这个漏洞适用于任何基于 Chrome 内核 Chromium 的浏览器,例如 Chrome、Opera、Slimjet 与 Torch 等,通过明文 HTTP 提供管理页面的任何路由器都会受到此问题的影响。 研究人员早在 3 月 2 日就向 Google 的 Chromium 项目披露了该漏洞,但 Chromium 回复称浏览器功能按设计工作,并且不打算修复。 “安全性和便利性之间始终存在权衡,但我们的研究清楚地表明,存储登录凭据的 Web 浏览器中的功能正在使数以百万计的家庭和企业网络受到攻击“,SureCloud 的网络安全实践总监 Luke Potter 说:“我们认为这个设计问题需要在受影响的 Web 浏览器中修复,以防止漏洞被利用,造成用户损失。”对于谷歌不修复该漏洞的回复,他们也没办法。 而最新消息是,在前两天推出的 Chrome 69 中,谷歌已经修复了该漏洞。   稿源:开源中国,封面源自网络;

英美等五眼联盟(Five Eyes)国家发布声明要求科技企业自愿提供后门

美国、英国、澳大利亚、新西兰和加拿大五眼联盟(Five Eyes)国家政府发布联合备忘录,要求各大科技企业向政府提供其加密产品的后门,以供执法部门有能力获得访问权。如果企业拒绝提供,那么这些政府会寻求技术的、执法的、 立法机构的或者其它手段,进入加密的设备或者服务。 这份声明来自上周召开的五眼联盟(Five Eyes)国家会议,五眼联盟,是指二战后英美多项秘密协议催生的多国监听组织,联盟国之间互相分享敏感情报。在声明中,五国政府向科技企业施压,要求提供加密产品的后门以供在犯罪调查时“合法”访问设备。该声明鼓励企业自愿向政府提供后门,如果科技企业拒绝并且阻挠,政府将采用强制措施集中力量进行加密破解。目前阶段,要求企业提供后门的请求更像是愿望,而非强制命令或威胁。但声明中提到政府和立法者在破解加密遭遇到了更大的反抗运动,则被视为对执法行为的阻挠。未来不排除将要求企业提供加密信息的请求直接升级为法律行动的可能。   稿源:cnBeta,封面源自网络;

美媒:中国进一步抑制加密货币投机 但仍支持区块链

新浪科技讯 北京时间 9 月 4 日早间消息,据美国财经媒体 CNBC 报道,尽管在禁止首次代币发行(ICO)一年后,中国政府努力抑制加密货币投机行为,但中国仍在支持发展基础区块链技术。 区块链技术具有点对点交易、分布式记账、区块信息广播等技术特性,能够有效提升交易的效率性和经济性,一些投资者认为它能够像互联网一样改变世界,加密货币的交易价格一度大幅攀升,目前,包括中国在内的政府机构和大公司正在测试这项技术。 根据上周公布的估计数字,自 2016 年以来,中国政府对基础区块链技术的投资约为 35.7 亿美元。 杭州、上海和南京等一些地方政府已经宣布参与区块链投资。8 月 28 日据新闻网站 SupChina 上发布的统计数字,自 2016 年以来,各地政府的区块链投资总量约为 35.7 亿美元。 中国过去一直是比特币交易的“领头羊”,但是,随着监管审查的强化,尤其是随着比特币价格攀升,去年 9 月初,中国央行和其它金融机构宣布禁止通过所谓的国际投资组织销售新的加密货币,北京还有效禁止了国内比特币和人民币间的交易。 而在过去几周内,中国进一步限制国内加密货币活动。 8 月 17 日,北京市朝阳区发布了一项禁令,禁止在购物区、酒店和办公楼举办密码货币促销活动。据媒体上周报道,广州南部的一个经济特区也宣布了类似禁令。 8 月 24 日,中国多个政府机构联合发布了关于非法集资风险的警告。声明还对那些使用海外服务器瞄准中国投资者的人发出警示。 就在同一天,腾讯宣布,将禁止通过微信支付进行与加密货币相关的交易。腾讯在向 CNBC 发表的一份声明中称,该公司还封锁了一些官方微信账户,因为这些账户发布了有关 ICO 和加密货币交易的信息,违反了政府关于即时通讯服务的政策。 在此情况下,中国的一些区块链项目将公司总部迁往海外,而内地的发展仍在继续,比特币可以通过场外交易市场用人民币购买。 HCM Capital 董事总经理李仁杰(Jack Lee)表示,中国政府希望保持金融稳定,并将对面向普通民众的募集资金活动加以规范。该公司是许多区块链项目的投资者,也是中国最著名的苹果 iPhone 制造商富士康公司(Foxconn)的私募分支。 李仁杰指出,HCM 并不期望监管者放松对加密货币投资的限制,尽管政府已经接受区块链技术。 同时,在去年年底和今年年初的高峰期过后,加密货币价格大幅下降,但区块链领域的私人投资始终保持稳定,业内人士对前景依然乐观。 根据 CoinDesk 的比特币价格指数,比特币对美元的价格上个月下跌了 9%,纽约时间上周日晚间的价格接近 7300 美元,而在 8 月份曾一度跌至 6000 美元以下低点。       稿源:新浪科技,封面源自网络;

Mozilla:云端 DOH 比传统 DNS 更安全 性能差别不大

Mozilla 今年 3 月时,在 Firefox Nightly 版本进行了 DOH(DNS Over HTTPS)与传统 DNS 的比较实验,探讨后者是否能被前者取代,结果显示虽然 DOH 服务平均比传统 DNS 慢6毫秒,但是相比之下,DOH 不止服务更安全,而且在极端情况下,甚至能比传统 DNS 的回应还快几百毫秒。 现在的浏览器用户依赖不够安全的传统 DNS 协议来访问目标网站,可能面临被追踪(Tracking)或是欺骗(Spoofing)等风险。Mozilla 引用了 2018 年 Usenix 安全研讨会的论文,研究显示 DNS 服务现在正受到严重的干扰,而且面临各种资料收集的隐私威胁。Firefox 开发了 DOH 技术,让浏览器从一个或多个可信任的服务中获取 DNS 信息,以提供高安全与高隐私的 DNS 服务。 由于以可信任的 DOH 云端服务取代传统 DNS 是一个剧烈的改变,在选择 DOH 服务器时需要考虑很多因素,因此 Mozilla 对此展开了测试,主要想了解两个问题,第一个,使用 DOH 是否能取代传统 DNS?第二个,使用 DOH 是否会出现额外的连接错误?在 7 月的时候有约 25000 名 Firefox Nightly 63 使用者参与了 Cloudflare 与 Mozilla 共同举行的测试,测试总共收集到了超过十亿条的 DOH 数据,目前测试已结束。 结果显示,与传统 DNS 相比,和云端服务供应商合作使用 HTTPS 发出 DNS 请求,在无缓存的 DNS 查询上,性能影响很小,大多数的查询只慢了约 6 毫秒,但从权衡安全性和保护隐私数据的角度出发,这是可以被接受的成本。而且在某些情况下,甚至能比传统 DNS 还快几百毫秒。 另外,这个测试除了解性能方面的影响,还考虑了连接错误率,在软故障(Soft-fail)模式下使用 DOH 云端服务的用户,和传统 DNS 用户相比,错误连接率并没有明显差异。软故障模式主要使用 DOH,当域名无法正确解析或是 DOH 提供的地址连接失败时,便退回使用传统 DNS。 Mozilla 提到,他们正努力于创造一个可信任的 DOH 供应商生态,以满足较高标准的数据处理需求,后续会在一组供应商中或是依照地理位置划分 DNS 传输,这项试验可能会在不久之后进行。     稿源:开源中国,封面源自网络;

Android API breaking 漏洞曝光:可泄露设备相关数据

近日 Nightwatch Cybersecurity 的安全研究专家 Yakov Shafranovich 发现了 Android 系统中存在的漏洞,能够让网络攻击者秘密捕获 WiFi 广播数据从而追踪用户。这些数据涵盖 WiFi 网络名称、BSSID、本地 IP 地址、DNS 服务器数据以及 MAC 地址,尽管后者在 Android 6 及更高版本中就已经通过 API 来隐藏掉了。 常规 APP 通常会用于合法目的来截取这些数据。但流氓 APP 在窃听这些数据之后,极有可能会导致敏感数据的泄露。攻击者可能会用于发起针对本地 WiFi 的网络攻击,以及使用 MAC 地址来追踪指定的 Android 设备。此外使用数据库查找,还可以通过网络名称和 BSSID 进行地理标记。 研究人员表示“虽然系统中对于阅读此类消息的功能进行了严苛的限制,但应用开发者往往忽略了如何正确的部署这些限制以及如何更好的保护敏感数据。这在 Android 系统中 APP 比较普遍,一旦设备被恶意 APP 感染,就会被黑客处于监听的状态,并且截取其他 APP 的广播信息。”   稿源:cnBeta.COM,封面源自网络;

谷歌新推出 Titan 安全密钥 开发商为一家中国公司

新浪科技讯 北京时间8月31日上午消息,据CNBC报道,谷歌为确保网页服务登录安全而推出的新产品Titan安全密钥是由中国飞天诚信科技股份有限公司(Feitan)开发的。 谷歌目前正在与LG和三星等设备制造商进行直接竞争。考虑到近些年来谷歌一直致力于推广硬件,此次安排确实有些不同寻常之处。去年,谷歌又加大了对于硬件的投资,从HTC手中收购了大量人才和知识产权。 谷歌在上个月举办的Next云计算大会上宣布了“泰坦”密钥的推出并表示将在谷歌开发的固件上验证其完整性,不过公司并未指出这款产品的制造商。但是这款无线密钥与飞天的一款无线密钥产品非常类似,这是一家位于北京的安全公司,于2014年在深圳证券交易所上市。 CNBC电话联系了飞天驻加州圣克拉拉的办公室,接电话的员工表示飞天在“泰坦”项目上正与谷歌进行合作。另外一位熟悉此项目的知情人士也证实了这一合作关系。周四,The Information媒体也单独报道了双方之间的合作。 谷歌发言人表示,谷歌是泰坦密钥“名义上的制造商”,但实际上开发泰坦密钥的是不具名的第三方制造商。不过发言人拒绝回应飞天是否是密钥的制造商。 这种安排在谷歌早有先例。2016年,谷歌强调自己是其首款Pixel智能手机“名义上的设计者”,而其实HTC才是其代工制造商。 谷歌一直以来的倡议 谷歌一直以来都推崇可以阻止不必要尝试登录用户账户行为的技术。现在,除了要求员工输入密码之外,公司还要求员工使用物理安全密钥。新增加的信息核实措施旨在防止网络钓鱼攻击,即黑客会通过欺诈消息获取个人信息。 泰坦密钥不但看上去与飞天密钥很相似,而且和美国一家名叫Yubico公司的USB密匙也非常相似。Yubico的密钥可以用于安全登录谷歌的Gmail、Dropbox、GitHub和其他网络服务。 但是Yubico的首席执行官斯蒂娜·埃伦斯瓦尔(Stina Ehrensvard)在博客文章中明确表示泰坦密钥不是由Yubico制造的。埃伦斯瓦尔还对该密钥使用蓝牙一点提出了批判。 “尽管Yubico之前也开发过蓝牙低能耗(BLE)安全密钥,并促成了BLE U2F标准的问世,但由于它不符合我们的安全、可用性和耐用性标准,因而我们决定不推出这款产品。”埃伦斯瓦尔写道,“BLE无法提供NFC和USB级别的安全保障,而且需要电池和配对,这就会带来非常糟糕的用户体验。”Yubico公司在瑞典和加州均设有办公处。 周日,谷歌产品经理克里斯蒂安·布兰德(Christiaan Brand)在博客中宣布用户可以通过谷歌在线商店获得泰坦密钥。她还表示谷歌的固件被密封在特殊的芯片中,这些芯片是直接配送到生产线上的。“对于泰坦密钥的信任便是源于这些密封芯片,而不是基于在设备制造过程中的后续步骤。” 在泰坦密钥发布之后,飞天也在社交媒体上分享了一些关于谷歌的消息,但并未正式发表公开声明表示两者之间的合作关系。 谷歌在自己的“高级保护”计划网站上建议美国公民——如果他们没有两个安全密钥的话,可以通过亚马逊购买飞天无线密钥以及Yubico的USB密钥。但这两款密钥均不是以谷歌泰坦品牌的名义进行销售的。   稿源:新浪科技,封面源自网络;