标签: 漏洞

安全专家曝谷歌内部问题追踪系统漏洞,谷歌一小时内迅速修复

谷歌公司内部平台问题追踪(Issue Tracker)系统近日被安全研究员曝出漏洞,利用这项漏洞攻击者可破解并获得该系统的访问权限,这能够让攻击者访问更多谷歌内部收到的功能建议和未修补漏洞详细报告,如果攻击者利用这些信息,会得到更多可利用的漏洞,造成更大的潜在威胁。在安全专家 Alex Birsan 通知谷歌后,谷歌在一小时内修补了该漏洞。 安全专家 Alex Birsan 公开了关于漏洞的细节,他发现利用一个函数调用能够让外部人员取消谷歌特定故障系统邮件列表的订阅,一旦取消订阅,系统就会认定该用户拥有高权限,从而向其发送漏洞详细细节的正式报告。而且 Birsan 还发现当他利用该函数调用取消一个他此前未订阅过的邮件列表,他也会获得关于该列表的所有漏洞细节。 这也意味着 Birsan 能够通过该方法调取涉及任何谷歌产品其它问题的故障详细报告,只要谷歌接收过关于此问题的漏洞报告。Birsan 认为利用这些报告,黑客能够找到许多未被公开的漏洞,发动更具威胁性的攻击。 稿源:cnBeta,封面源自网络;

黑客通过 Instagram API 窃取帐户信息,漏洞已被修复

据外媒 8 月 31 日报道,Instagram 对外宣称,此前至少有一名黑客已成功窃取知名用户帐号个人信息,然而发生该事件的主要原因是由于系统存在安全漏洞,但目前该漏洞已被修复。 Instagram 发言人表示:“ 我们最近发现有一人或者多人通过 Instagram API 漏洞非法入侵知名用户帐号,以查看联系人信息(特别是邮件地址和手机号码)”。 Instagram 应用程序界面存在一处安全漏洞,允许黑客利用恶意代码窃取目标用户帐号电子邮件地址、手机号码。不过,目前用户不必太过担忧,因为 Instagram 账号并无密码泄露且漏洞已被修复。此外,Instagram 已将该问题通报所有帐户持有人以避免用户再次遭窃。 稿源:新浪科技,封面源自网络;

预装软件漏洞为戴尔系统增加安全隐患

据外媒 4 日报道,思科( Talos )安全专家发现预装软件漏洞使戴尔系统易遭代码执行攻击。黑客可利用该漏洞禁用安全机制、提权并以用户身份执行任意代码。 思科 Talos 专家表示,存在漏洞的预装软件为 Dell Precision Optimizer、InvinceaX 与 Invincea Dell Protected Workspace。目前,思科正为上述几款软件发布漏洞修复建议。相应数据包预装在戴尔系统特定版本中。 Protected Workspace 6.1.3-24058 Invincea-X 中存在的第一个漏洞 CVE-2016-9038 是 SboxDrv.sys 驱动程序中的 double fetch。黑客可以通过向设备驱动 \Device\SandboxDriverApi 发送特制数据获取开放读写权限。此外,黑客还可利用该问题在内核空间写入任意值、成功进行本地提权。第二个漏洞 CVE-2016-8732 对作为终端安全解决方案的 Invincea Dell Protected Workspace 5.1.1-22303 版本造成影响。调查显示,该漏洞存在于 5.1.1-22303 版本软件驱动组件 “ InvProtecDrv.sys ”。驱动通信信道的薄弱限制与无效验证允许黑客在受影响系统中执行的应用程序利用驱动禁用保护机制。目前,该问题已在 6.3.0 版本中得到修复。 第三个漏洞 CVE-2017-2802 关乎 Dell Precision Optimizer 应用,可导致任意代码执行,对采用 nVidia 显卡、PPO 策略处理引擎 3.5.5.0 与 ati.dll( PPR 显示器插件)3.5.5.0 的 Dell Precision Tower 5810 造成影响。Dell PPO 服务启动期间,Dell Precision Optimizer 应用提供的程序 “ c:\Program Files\Dell\PPO\poaService.exe ” 在加载 “ c:\Program Files\Dell\PPO\ati.dll ” 后尝试加载 “ atiadlxx.dll ”,后者在默认情况下不出现在应用目录。该程序在 PATH 环境变量指定目录中搜索恰当命名的 dll 文件。如果查找到采取相同命名的 dll,无需检查该 dll 签名即可将其加载至 poaService.exe。倘若黑客提供正确名称的恶意 dll 文件,则可能导致任意代码执行。 考虑到 Invincea Dell Protected Workspace 是部署在高安全环境中用于保护工作站的常见应用,上述漏洞影响重大。Talos 建议使用受感染版本软件的组织机构尽快将软件升级至最新版本。无论如何都应在访问任何预装软件时持谨慎态度,避免漏洞被黑客利用。 原作者:Pierluigi Paganini,译者:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌漏洞赏金加倍:发现 TrustZone 或 Verified Boot 远程漏洞可奖励 20 万美元

据外媒报道,谷歌拓展了旗下 “Android Security Rewards” 计划,以鼓励大家帮助其填补更多漏洞。自 2010 年漏洞赏金计划上线以来,谷歌已为安全人员支付了数百万美元。 在这一计划推出第二年,谷歌收到安全研究人员发来的 450 多份漏洞报告。过去一年中,平均每个安全研究人员获得的奖金额提高了 52.3%,总奖金额增加了一倍,增加至 110 万美元。谷歌希望通过提高赏金来激励安全研究人员,使其投入更多的时间来研究其移动操作系统 Android 中的漏洞。 据了解,“ Android Security Rewards ” 计划是对谷歌现有的内部安全计划的有益补充。它可以激励黑客个人和组织去寻找漏洞,并以适当的方式来公布这些漏洞,而不是利用这些漏洞作恶或销售给第三方作恶。 目前,谷歌 Android 团队准备提高两项漏洞赏金。发现 TrustZone 或 Verified Boot 远程漏洞的奖金额提高了三倍,从原来的 5 万美元提高到了 20 万美元。发现远程内核漏洞的奖金额提高了四倍,从原来的 3 万美元提高到了 15 万美元。 稿源:网易数码、中关村,封面源自网络

医疗安全研究:起搏器生态系统网络存在安全隐患,短期内难以解决

据外媒 26 日报道,安全研究人员在本周发表的一份研究报告中指出困扰领先起搏器生产厂商的一系列网络安全问题,主要包括缺乏身份验证与加密功能、第三方软件库遭受成千上万漏洞攻击等,使起搏器再度成为医疗器械安全领域的热议话题。 起搏器是用于调节异常心律的植入式心脏装置,大多数可由医师与技术人员在设备附近或远程更新。WhiteScope IO 研究人员 Billy Rios 与 Jonathan Butts 针对四家厂商生产的起搏器程控仪( 临床设置中用于监测可植入装置工作原理与设置治疗参数的装置 )进行了射频通信检测。 检测结果表明,为植入体提供支持的基础设施普遍存在严重安全漏洞,患者护理与网络安全之间的斗争相持不下。此外,所有心脏起搏器系统在可移动媒介上均存在未加密文件系统。就软件而言,Rios 与 Butts 在现有厂商生产的程控仪第三方库中发现 8,000 多个已知漏洞。由于医疗机构将未加密数据(社会保障卡号与病历等)存储在程控仪中,因此部分设备不仅存在患者私人信息被窃取的风险,还具有侵犯患者隐私之嫌。 安全专家表示,纵观医疗设备现状,全面修复更新仍不失为一大挑战。尽管美国食品药品监督管理局( FDA )已经努力简化了网络安全更新常规流程,但检测结果仍显示所有程控仪均与存在已知漏洞的陈旧软件有关。 报告详细内容见《 Pacemaker Ecosystem Evaluation.pdf 》 原作者:Michael Mimoso,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

苹果公司成功修复 iCloud Keychain 漏洞

据外媒 10 日报道,苹果公司近期修复了允许黑客利用 MitM(中间人)攻击、窃取 iCloud 用户私人信息(姓名、密码、信用卡数据与 Wi-Fi 网络信息)的 iCloud Keychain 漏洞。 iCloud Keychain 同步功能允许用户在所有 Apple 设备之间共享密码与其他私人数据。苹果公司根据每台设备独有的同步身份密钥为同步过程实现端到端加密。 用户私人信息通过 iCloud Key-Value Store(KVS)传输时,应用程序与 KVS 之间的任何连接均由  syncdefaultsd 服务 与其他 iCloud 系统服务评断。 据悉,今年 3 月,研究人员 Alex Radocea 在即时通信加密协议(OTR)中发现这一漏洞,它能允许攻击者利用受信设备传输 OTR 数据。研究人员指出,攻击者不仅可以通过 MitM 攻击在无需同步身份密钥的情况下绕过 OTR 签名验证流程,还可在同步过程中利用该漏洞伪造其他可信设备截获相关数据。 安全专家强调,如果用户账户未启用双因素验证,攻击者可直接使用受害者 iCloud 密码访问并篡改 iCloud KVS 数据条目。此外专家警示,iCloud KVS 条目的潜在篡改与 TLS 通信证书的缺失都将为攻击者打开设备系统的大门。 原作者:Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

思科修复 CIA 零日漏洞:曾允许黑客远程执行恶意代码

思科近期修复了一个通过 CIA 机密文件泄漏的 零日漏洞。漏洞编号为 CVE-2017-3881,允许攻击者向 318 个型号的思科网关发送命令远程执行恶意代码。 攻击代码是作为 Wikileaks  Vault7 系列 CIA 文件的一部分泄漏出去的。漏洞位于思科的 Cluster Management Protocol (CMP)中。CMP 使用 telnet 协议在网络中传递信号和通信,但它未能限制本地通信的 telnet 选项,不正确的处理畸形 CMP 特有的 telnet 选项。一位攻击者可以通过发送畸形 CMP 特有 telnet 选项,利用该漏洞与受影响的思科设备建立 telnet 会话,配置接受 telnet 连接。 稿源:Solidot奇客,封面源自网络

谷歌 Fuzz Bot 在开源项目中嗅探出超过千余 Bug

自 Google 宣布 OSS-Fuzz 之后的五个月内,这款工具在开源项目中嗅探出超过 1000 个 bug,其中包括 264 个潜在的安全漏洞。谷歌团队非常努力,每天都要处理 10 万亿的测试输入。其中,有 47 个项目早已整合了 Fuzz。Google 表示:“ OSS-Fuzz 已经在几个关键开源项目中找到了多个安全漏洞 ”。 其中,FreeType 2(10 个)、FFmpeg(17 个)、LibreOffice(33 个)、SQLite 3(8 个)、GnuTLS(10 个)、PCRE2(25 个)、gRPC(9 个)、Wireshark(7 个)。此外,OSS-Fuzz 还与另一个独立安全研究工具碰上了同一个 bug,它就是 CVE-2017-2801 。 据该公司所述,当某个项目集成 OSS-Fuzz 之后,后续它会自动抓取问题且几个小时后回溯至上游资源库,从而将用户受影响的可能性尽可能降低。Google 还称,OSS-Fuzz 已经报告超过 300 次超时和内存不足失败,其中有 3/4 已被修复。 稿源:据 cnBeta,封面源自网络

英特尔芯片漏洞比想象中更严重:控制计算机无需密码

英特尔芯片出现一个远程劫持漏洞,它潜伏了 7 年之久。本月 5 日,一名科技分析师刊文称,漏洞比想象的严重得多,黑客利用漏洞可以获得大量计算机的控制权,不需要输入密码。 英特尔主动管理技术(AMT)功能允许系统管理者通过远程连接执行多种繁重的任务,包括:改变启动计算机代码、接入鼠标键盘和显示器、加载并执行程序、通过远程方式启动设备等。 许多 vPro 处理器都支持 AMT 技术,如果想通过浏览器界面远程使用它必须输入密码,然而,英特尔的验证机制输入任何文本串(或者连文本都不要)都可以绕过。Tenable Network Security 刊发博客文章称,访问认证时系统会用加密哈希值(cryptographic hash)验证身份,然后才授权登录,不过这些哈希值可以是任何东西,甚至连文字串都不需要。Tenable 逆向工程主管卡罗斯·佩雷兹(Carlos Perez)指出,即使输入错误的哈希值也可以获得授权。 还有更糟糕的地方。一般来说,没有获得验证的访问无法登录 PC,因为 AMT 必须直接访问计算机的网络硬件。当 AMT 启用时,所有网络数据包会重新定向,传到英特尔管理引擎(Intel Management Engine),然后由管理引擎传到 AMT。这些数据包完全绕开了操作系统。 Embedi 是一家安全公司,英特尔认为它是首先发现漏洞的公司,Embedi 技术分析师也得出了相同的结论并以邮件形式将分析结果发给记者,未在网上公布。英特尔表示,预计 PC 制造商在本周就会发布补丁。新补丁会以英特尔固件的形式升级,也就是说每一块存在漏洞的芯片都要刷新固件。与此同时,英特尔鼓励客户下载并运行检查工具,诊断计算机是否存在漏洞。如果工具给出正面结果,说明系统暂时是安全的,安装补丁才能真正安全。富士通、惠普、联想等公司也针对特殊机型发出警告。 稿源:cnBeta 节选,封面源自网络

时隔三月,包含银行应用在内的 iOS 漏洞至今仍未修复

据报道,安全专家于今年 2 月发现多款 iOS 应用存在泄漏登陆凭证和其他私人数据的漏洞,然而时隔三月,包括移动银行应用在内的多款应用程序至今仍未获得修复。 来自 Sudo Security Group 的 Will Strafach 解释道:不少于 76 款应用程序会受到中间人攻击影响,其中包括银行和医疗应用。黑客能够利用这些应用在用户不知情的情况下泄漏用户登陆细节。 稿源:cnBeta,封面源自网络