标签: 漏洞

使用火狐浏览器的 Twitter 网友请注意 你的非公开信息或已被曝光

作为一款主打安全隐私的开源浏览器,Mozilla Firefox 拥有一票相当忠实的多平台用户。然而近日爆出的一个 Twitter 漏洞,却给使用该浏览器访问社交网站的用户蒙上了一层阴影。外媒指出,如果你一直通过 Firefox 来访问 Twitter,便很可能已经将非公开信息数据保存在本地缓存中。 庆幸的是,Twitter 方面表示其已经在服务器端修复了这个问题,且谷歌 Chrome 和苹果 Safari 均未受到影响。 社交巨头在接受 BetaNews 采访时称,问题与 Mozilla 如何处理 HTTP 报头数据的浏览器默认设置有关。 为避免这一问题,Twitter 方面已经实施了一项更改,以使 Mozilla Firefox 不再于缓存中存储 Twitter 数据。 不过 Twitter 并未将之归咎于 Mozilla 犯错或泄露,因此大家不必着急去批评 Firefox 。 如果你通过 Firefox 从共享或公共计算机访问 Twitter,并采取过下载数据存档、或通过 Direct Message 收发媒体文件等操作。 那么即使注销登录,这些信息仍可能被存储在浏览器的缓存中。Firefox 默认的有效期为 7 天,超时后将被自动清理。 最后,Twitter 表示已经彻底实施了一项变更,因此今后不会再在 Firefox 浏览器缓存中存储用户的个人信息。不放心的用户,建议在使用公共电脑后及时登出并清理缓存。   (稿源:cnBeta,封面源自网络。)

OpenWRT 被发现使用 HTTP 连接传输更新 易遭受中间人攻击

安全研究员报告,流行的路由器发行版 OpenWRT 容易受到远程代码执行攻击,原因是它的更新是通过未加密渠道传输的,其数字签名验证很容易绕过。OpenWRT 被广泛用于路由器和其它嵌入式系统。 安全研究员 Guido Vranken 发现它的更新和安装文件是通过 HTTP 连接传输的,容易受到中间人攻击,攻击者可以用恶意更新文件去替换合法更新文件。 除此之外,它的数字签名检查和验证也很容易绕过,验证函数 checksum_hex2bin 存在 bug,在输入字符串前加空格可绕过检查,该 bug 是在 2017 年 2 月引入的。 组合这两个弱点攻击者可以向设备发送恶意更新并自动安装。OpenWRT 维护者已经释出了更新部分修复了问题。   (稿源:solidot,封面源自网络。)

冠状病毒爆发期间 研究人员在 Zoom 当中发现更多安全问题

在冠状病毒爆发期间,视频会议应用程序和服务使用率增加,导致安全人员在Zoom当中发现更多安全问题。据报道,视频会议服务Zoom可以通过解决苹果常规安全措施而在Mac上安装,并且还宣传其具有端到端加密功能,但显然没有。 之前它已将用户数据发送到Facebook(据称已修复),现在它还被指控存在两个单独的安全问题。Twitter用户@ c1truz_(恶意软件跟踪器VMRay的技术负责人)报告说,Zoom的Mac应用安装程序使用了预安装脚本,并据称显示了伪造的macOS系统消息。 c1truz称,在Mac上安装该应用程序时,无需用户给出最终同意,并且高度误导性的提示用于获得root特权。AppleInsider已就指控指控与Zoom取得联系,但尚未收到评论。苹果也没有公开发表评论。不过,之前苹果为纠正Zoom安全问题而强制对用户进行Mac OS更新。 另外,The Intercept声称Zoom并不是真正的端到端加密,在整个视频聊天中,用户和Zoom服务器之间的连接被加密,但是并不能阻止Zoom本身看到呼叫过程。Intercept说:“实际上,Zoom使用了其自己的术语定义,这使Zoom本身可以访问会议中未加密的视频和音频。”Zoom发言人向The Intercept证实了这一点,并表示当前无法为Zoom视频会议启用E2E加密。   (稿源:cnBeta,封面源自网络。)

三月补丁导致 Windows 10 安全软件漏过部分文件的扫描

近日的反病毒软件测试结果表明,Windows 10 操作系统预装的 Windows Defender,已能够与业内领先的第三方安全供应商相当。尴尬的是,如果你的系统已经打上了三月的补丁,那它很可能漏过对某些文件的扫描。外媒 BornCity 报道称,微软在 3 月的“补丁星期二”那天发布了面向 Windows 和其它产品的安全更新。   用户汇报称,无论是选择快速或完整扫描,Windows Defender 都有可能在期间跳过对某些文件的检查,就像是在配置文件中已经将之列入了排除项一样。 与此同时,行动中心也会在遇到该问题时,向用户推送一条错误消息。其写道:“由于排除或网络扫描设置的原因,扫描期间跳过了某个项目”。 有些人可能觉得这与 Windows Defender 的特定版本有关,且能够通过与 Windows 10 系统拆分的升级措施来避免。 然而现在的情况是,无论你用的是哪个版本的 Windows Defender 反病毒软件客户端,它都会在打上三月补丁后遇到这个问题。 外媒 Softpedia 在运行 Windows 10 1909 的设备上尝试了最新的客户端和病毒定义,结果也在执行快速或完整扫描时重现了这个故障。 尽管没有设置任何排除项,但扫描结束后,还是在 Windows 10 的行动中心里看到了跳过某些文件扫描的错误通知。 截止发稿时,微软似乎尚未意识到这个问题。目前暂不清楚这是个例还是普遍现象,以及到底有多少设备受到了影响。 对于用户来说,或许可以尝试其它方法来确保安全,或等到微软在 4 月 14 日发布下一批安全更新时再修复。   (稿源:cnBeta,封面源自网络。)

Intel 处理器曝新漏洞 打补丁性能骤降 77%

幽灵、熔断漏洞曝光后,Intel、AMD处理器的安全漏洞似乎突然之间增加了很多,其实主要是相关研究更加深入,而新的漏洞在基本原理上也差不多。事实上,Intel、AMD、ARM、IBM等芯片巨头都非常欢迎和支持这类漏洞安全研究,有助于提升自家产品的安全性,甚至资助了不少研究项目,近日新曝光的LVI漏洞就是一个典型。 LVI的全称是Load Value Injection,大致就是载入值注入的意思,由安全研究机构BitDefender首先发现,并在今年2月10日汇报给Intel。 它影响Intel Sandy Bridge二代酷睿以来的绝大部分产品,只有Cascade Lake二代可扩展至强、Coffee Lake九代酷睿Comet Lake十代酷睿部分免疫,Ice Lake十代酷睿完全免疫。 该漏洞可以让攻击者绕过Intel SGX软件保护扩展机制,从处理器中窃取敏感信息,类似幽灵漏洞,不过Intel、BitDefender都认为它只有理论攻击的可能,暂不具备实质性威胁。 Intel表示,受影响产品只有关闭超线程才能规避此漏洞,不过同时Intel也更新了SGX平台软件、SDK开发包,以避免潜在的安全威胁,简单说就是在受影响指令前增加了一道LFENCE指令保护墙。 Intel以往的安全补丁经常会影响性能,但幅度都不是很大,这次又会怎样呢? Phoronix找了一颗至强E3-1275 v6(Kaby Lake),在Linux环境下进行了测试,包括未打补丁、分支预测前载入LFENCE、RET指令前载入LFENCE、载入后执行LFENCE、同时载入LFENCE/RET/分支预测。 结果发现,分支预测和RET指令前载入LFENCE影响不大,性能只损失3%、8%左右,但后两种情况损失惨重,幅度高达77%。 这不是一夜回到解放前,直接就打回原始社会了…… 不过幸运的是,LVI漏洞对普通消费者可以说几乎毫无影响,因为主流PC根本用不到SGX,企业用户倒是因为经常使用SGX、虚拟化而必须重视起来。 同样幸运的是,要想利用这个漏洞极为复杂,理论上可以通过JavaScript发起攻击,但难度极大。   (稿源:cnBeta,封面源自网络。)

微软发布紧急安全更新:修复 SMBv3 协议漏洞

在本月的补丁星期二活动日上,微软对所有受支持的Windows 10系统发布了累积更新,并对Edge、Internet Explorer和其他组件进行了安全改进。在活动日期间,网络上意外曝光了存在于SMBv3协议中全新蠕虫漏洞,为此今天微软发布了紧急更新对其进行了修复。 该协议允许计算机上的应用程序读取文件,以及向服务器请求服务。然而新曝光的严重漏洞或被攻击者利用,在 SMB 服务器或客户机上执行远程代码。 该公司在昨日的安全公告中解释称:该漏洞影响 1903 / 1909 版本的 Windows 10 和 Windows Server 操作系统。庆幸的是,目前尚无漏洞被利用的报告。 据悉,未经身份验证的攻击者,可将特制数据包发送到目标 SMBv3 服务器。得逞之前,攻击者需配置恶意的 SMBv3 服务器,并诱使用户连接到该服务器。需要注意的是,在宣布漏洞的同一天,微软并未在“星期二补丁”中修复这一缺陷。 面向Windows 10 Version 1903和Version 1909,微软今天紧急发布了累积更新KB4551762,修复了这个严重的SMBv3漏洞,并替代此前发布的KB4540673通过Windows Update部署。 微软推荐用户尽快安装该更新,以避免受到该漏洞的影响。用户可以通过在“更新和安全性”>“ Windows Update”中检查更新来下载并安装重要的安全更新。与预览更新不同,这是一个强制性修补程序,如果您今天不手动安装,它将在某些时候自动在后台安装。   (稿源:cnBeta,封面源自网络。)

微软证实影响 Windows 10 操作系统的 SMBv3 协议漏洞

微软已经确认,在 Windows 10 操作系统的最新版本中,存在着一个 SMBv3 网络文件共享协议漏洞。该协议允许计算机上的应用程序读取文件,以及向服务器请求服务。然而新曝光的严重漏洞或被攻击者利用,在 SMB 服务器或客户机上执行远程代码。 该公司在昨日的安全公告中解释称:该漏洞影响 1903 / 1909 版本的 Windows 10 和 Windows Server 操作系统。庆幸的是,目前尚无漏洞被利用的报告。 据悉,未经身份验证的攻击者,可将特制数据包发送到目标 SMBv3 服务器。得逞之前,攻击者需配置恶意的 SMBv3 服务器,并诱使用户连接到该服务器。 需要注意的是,在宣布漏洞的同一天,微软并未在“星期二补丁”中修复这一缺陷。有鉴于此,该公司建议 IT 管理人员禁用 SMBv3 压缩功能,以防止攻击者借此发起攻击。 至于更多替代方法,亦可查阅微软门户网站(ADV200005)提供的详细信息。如果一切顺利,其有望在下月的“补丁星期二”那天得到正式修复。 如有需要,还可订阅微软的安全通知服务,以及时知晓后续进展。   (稿源:cnBeta,封面源自网络。)

17 年历史的 RCE 漏洞已影响数个 Linux 系统

一个影响点对点协议守护程序(Point-to-Point Protocol daemon,pppd)软件,并具有 17 年历史的远程代码执行(remote code execution,RCE)漏洞已对几个基于 Linux 的操作系统造成了影响。Pppd 软件不仅预先安装在大多数 Linux 系统中,而且还为流行的网络设备的固件提供 power。 该 RCE 漏洞由 IOActive 的安全研究人员 Ija Van Sprundel 发现,其严重之处在于,由守护程序软件的可扩展身份验证协议(EAP)数据包解析器中的逻辑错误所导致的堆栈缓冲区溢出漏洞。 根据 US-CERT 发布的咨询报告表示,该漏洞已被标记为 CVE-2020-8597。在严重程度方面,CVSS 则将其评为 9.8 分。 将一个 crooked EAP 打包程序发送到目标 pppd 客户端或服务器后,黑客就可以对此漏洞进行利用。其可以利用此漏洞并在受影响的系统上远程执行任意代码,从而接管系统的全部控制权。 而加重该漏洞严重程度的是,点对点协议守护程序通常具有很高的特权。这也就导致一旦黑客通过利用该漏洞控制服务器,就可以获得 root-level 的访问特权。 据 Sprundel 透露,该漏洞在 2.4.2 到 2.4.8 的 pppd 版本或过去 17 年中发布的所有版本中都一直存在。他已经确认以下 Linux 发行版已受到 pppd 漏洞的影响: Ubuntu Debian Fedora SUSE Linux Red Hat Enterprise Linux NetBSD 此外,还有以下设备也附带了受影响的 pppd 版本,并且容易受到攻击: TP-LINK products Synology products Cisco CallManager OpenWRT Embedded OS 建议用户们在补丁发布后尽快更新其系统,以规避潜在的攻击。   (稿源:开源中国,封面源自网络。)

Android 安全警告:10 亿台设备不再获得更新

据消费者监管机构透露,如果你仍在运行 Android 6.0 或更早版本,则会容易受到恶意软件的攻击。目前来看,全球有超过十亿的 Android 设备不再受到安全更新的支持,它们都是十分容易受到攻击的对象。 据统计,40% 的 Android 设备不再从 Google 接收到重要的安全更新,这使它们面临更大的恶意软件或其他安全漏洞风险。Android 10 是目前最新的版本,虽然它和其前身 Android 9 (Pie) 及 8 (Oreo) 仍在接收安全更新,但使用低于 Android 8 的任何设备都会带来安全风险。 根据 Google 去年公布的数据,全球约 40% 的 Android 活跃用户使用的是 6.0 或更早版本:Marshmallow (2015), Lollipop (2014), KitKat (2013), Jellybean (2012), Ice Cream Sandwich (2011) 以及 Gingerbread (2010)。而根据《 Android 安全公告》中的政策,2019年未发布针对 7.0 以下版本(Nougat)的 Android 系统的安全补丁。 这就意味着,全球有超过 10 亿部手机和平板电脑处于活跃状态,但不会再收到安全更新。有人购买了许多已使用三年的 Android 设备进行了验证,其中大多数只能运行 Android 7.0。结果显示,消费者团体聘请的安全专家能够用恶意软件感染所有设备,其中一些设备还会被多次感染。 测试中的所有手机均被 Joker(也称为 Bread)恶意软件成功感染,此外,被测试的每台设备也都被 Bluefrag 感染了,这是一个严重的安全漏洞,主要针对 Android 蓝牙组件。 事实上,对于应该为智能设备提供多长时间的更新,以便消费者可以做出明智的购买决定,并且一旦不再提供安全更新,客户如何获得有关其选择的更好信息等此类问题,应该具有更大的透明度。 谷歌表示,他们一直在致力于提升 Android 设备的安全性。他们每月都会提供安全更新、错误修复和其他保护措施,并持续与硬件和运营商合作伙伴保持合作,以确保 Android 用户能获得快速、安全的使用体验。 不过交付操作系统安全更新的时间取决于设备、制造商和移动运营商。由于智能手机制造商会对 Android 操作系统的某些部分进行定制,因此他们部署补丁和更新的速度通常比谷歌在自己设备上部署的速度更慢,或者根本没有部署。   (稿源:开源中国,封面源自网络。)

Android 三月安全更新将全面修复 MediaTek-SU 权限漏洞

谷歌今日重申了让 Android 智能机保持最新的安全更新的重要性,使用基于联发科芯片方案的设备用户更应提高警惕。在 2020 年 3 月的安全公告中,其指出了一个存在长达一年的 CVE-2020-0069 安全漏洞。XDA-Developers 在本周的一份报告中写到,早在 2019 年 4 月,他们就已经知晓了此事。 与谷歌在 CVE-2020-0069 中披露的漏洞类似,XDA-Developers 论坛将之称作 MediaTek-SU,后缀表明恶意程序可借此获得超级用户的访问权限。 利用 MediaTek-SU 安全漏洞,恶意程序无需先获得设备的 root 权限(处理 bootloader 引导程序),即可获得几乎完整的功能权限,甚至肆意编辑和修改相关内容。 对恶意软件作者来说,此举无异于打开了 Android 手机上的后门面板,使之可以对用户为所欲为。 从获得放权访问权限的那一刻起,他就能够染指任何数据、输入和传入传出的内容。应用程序甚至可以在后台执行恶意代码,在用户不知情的状况下将命令发送到设备上。 联发科很快发现了该漏洞并发布了修复程序,但遗憾的是,设备制造商并没有太大的动力去向用户推送安全更新。经过一年的时间,仍有许多用户暴露于风险之中。 好消息是,现在联发科与谷歌达成了更紧密的合作,以期将这一修复整合到 3 月份的 Android 标准安全更新补丁中。在厂商推送 OTA 更新后,还请及时安装部署,以消除这一安全隐患。   (稿源:cnBeta,封面源自网络。)