标签: 漏洞事件

Twitter 公开会将用户位置数据共享出去的漏洞

据外媒报道,当地时间周一下午,Twitter披露了一个漏洞,即在某些情况下,一个账户的位置数据会被共享给Twitter的合作伙伴–即使用户没有选择共享这些数据。这家公司表示,该漏洞只影响了Twitter iOS用户群的一部分,另外他们都已经得到了存在这一问题的通知。 据了解,受影响用户在iOS上拥有多个Twitter账号,并且选择在一个账号中使用可选功能分享自己的精确位置。Twitter表示,它可能意外地对其他账号或同一移动设备上的其他账号也进行了位置数据收集,即使这些账户没有选择共享位置数据。 然后,这些信息在实时竞标过程中被共享给未具名的Twitter合作伙伴,这意味着他们得到了未经授权的位置数据。Twitter指出,这些都不是精确的位置数据,因为这些数据已经被模糊化。这意味着这些数据不能用来确定某一个特定的地址,也不能用来绘制出用户的精确活动地图。 对于那些担心自己的位置被泄露的用户,Twitter向受到影响用户保证,接收位置数据的合作伙伴没有得到他们的唯一的帐户标识符。另外Twitter表示,合作伙伴没有保留这些位置数据。 目前还不清楚这一位置分享是何时发生的,也不清楚持续了多长时间,此外,Twitter也没有指明拥有这些数据的合作伙伴的名字,也没有解释这样一个漏洞是如何产生的,而只是表示,未能删除这些位置数据。   (稿源:cnBeta,封面源自网络。)

WhatsApp 曝出漏洞 导致以色列间谍软件入侵手机

北京时间5月14日早间消息,《金融时报》本周在一篇报道中详细介绍了WhatsApp的一个漏洞。该漏洞让攻击者可以将以色列间谍软件注入手机。这些恶意代码由以色列公司NSO Group开发,可以通过iOS和Android版WhatsApp呼叫其他用户来传播。 报道称,即使用户没有应答WhatsApp呼叫,恶意代码也可以传播。在许多情况下,这样的呼叫会从日志中清除。因此,许多用户在不知情的情况下就成为受害者。 目前有关该漏洞的细节尚不清楚。报道称,这个漏洞被发现已经有几周之久。 WhatsApp在公告中表示:“这次攻击具备一家私营公司的所有特征。该公司与政府合作,提供间谍软件,有报道称这些软件可以接管移动操作系统的许多功能。我们已向多家人权组织提供简报,分享我们可以提供的信息,并与他们合作告知民间社会。” 报道称,WhatsApp还处于调查起步阶段,目前无法估计有多少手机被攻击。WhatsApp在全球范围内有超过15亿用户。 WhatsApp已于上周向美国司法部报告了这个问题,并于周五开始在服务器端部署修复方案。为开发用户端的补丁,WhatsApp工程师一直加班到上周日。 NSO Group开发类似Pegasus的工具并推销给全球各国政府部门,作为打击恐怖主义和犯罪的一种手段。该公司在声明中表示,“不会也不能利用自己的技术瞄准任何个人或组织”。(张帆)   (稿源:,稿件以及封面源自网络。)

黑客利用 Jenkins 漏洞传播 Kerberods 恶意软件

HackerNews.cc 5 月 9日消息,黑客正利用2018年揭露的Jenkins漏洞(CVE-2018-1000861 )来进行挖矿活动。 Jenkins是最受欢迎的开源自动化服务器,它由CloudBees和Jenkins社区共同维护。 它在全球拥有数十万个活动安装,拥有超过100万用户。 SANS专家Renato Marinho发现了一个针对易受攻击的Apache Jenkins安装的恶意攻击活动,来传播一个名为Kerberods的门罗币挖矿恶意软件。据SANS研究所的网络风暴中心称,攻击者正在利用Jenkins服务器的CVE-2018-1000861漏洞,其存在于Stapler HTTP请求处理引擎中。 Marinho发现一些攻击击中了他的一个蜜罐,且正试图利用Jenkins漏洞来进行挖矿。在分析了这一蜜罐威胁之后,他创建了下图所示的图表(可以按照蓝色数字来理解每一步)。 Kerberods包含自定义版本的UPX打包程序,它尝试获取root权限以隐藏其存在来长期存续。在分析二进制文件后,Marinho发现使用的打包程序是“UPX”的自定义版本。UPX是一个开源软件,有许多方法可以修改UPX,使得用常规UPX版本解压缩文件很难。幸运的是,在本例中,UPX自定义版本只涉及魔术常量UPX_MAGIC_LE32从“UPX”修改为其他三个字母。因此,将二进制文件的不同部分还原为UPX,可以使用常规版本的UPX解压缩二进制文件。 一旦获得root权限,Kerberods会将一个库加载到操作系统中,该操作系统挂钩Glibc的不同功能,就像一个木马一样。在没有root权限的情况下,恶意软件创建了一个定时任务来确保其持久性。 Kerberods在受感染的系统上下载并执行门罗币加密货币挖掘器,它还使用本地SSH密钥进行横向移动。 恶意软件还会在互联网上搜索其他易受攻击的Jenkins服务器。   消息来源:Securityaffairs, 译者:Vill,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

GNOME Shell 内存泄露问题正在修复中,原因竟是忘记进行垃圾回收

GNOME Shell 被发现存在内存泄露的问题,现在官方开发团队已确认导致这个问题的原因 —— 忘记进行垃圾回收…… GNOME 称目前正在修复该问题。“触发垃圾回收能够将 GNOME Shell 使用的内存量减少到正常水平”  GNOME 开发者花了大约一周的时间来定位问题的根源,不过内存泄漏的原因(看起来)已经确定。 GNOME 开发者 Georges Basile Stavracas 在仔细研究他在 GitLab 上关于 bug 的测试、检查和调查结果的过程中,似乎发现了导致这个 bug 的原因,“……有些问题伴随着垃圾回收器一起出现。” Georges Basile Stavracas 表示,在他放弃寻找内存泄漏原因的所有希望之后,发现了一个非常有趣的行为,并且可以重现这个过程。他推断只有一系列相互依赖的对象的根对象被回收后,才能最终确定它的子对象/依赖对象会被标记为 GC 状态。 通过运行 GJS(GNOME 的 JavaScript 绑定) 的垃圾回收器,Stavracas 称能够减少大约 250MB 的内存使用量(GNOME Shell 在启动时的消耗)。 不过目前关于这个 bug 的补丁尚未发布,依旧处于修复中的状态。所以不能确定下个月发布的 18.04 LTS 是否包含这个 bug 的修复,如果没有,只能期待后续的更新。 而 Ubuntu 17.10 和 Ubuntu 18.04 LTS 在 Launchpad 上关于 GNOME Shell 的内存泄露问题已被标记为“关键”和“高”优先级级别,这表明 Ubuntu 对这个问题足够关心,将会及时提供修补建议。 稿源:cnBeta,封面源自网络  

研究人员发现 4G 漏洞:可窥探信息跟踪用户发送虚假警报

大学研究人员发现了一系列新的网络攻击,该网络攻击主要利用了4G LTE 网络协议中存在的漏洞,来进行监视呼叫和信息、设备脱机、跟踪用户位置并发送虚假警报等 10 种攻击。研究人员使用了一种名为 LTEInspector 的测试方法来进行实验,并在美国四大运营商网络中确认了 8 种,而受到攻击的大部分原因在于,协议信息中缺乏适当的认证,加密和重播保护。 任何人都可利用常见设备和开源 4G LTE 协议软件发起上述这些攻击。 以最为显著的中继攻击为例,它能够让攻击者冒充受害者的电话号码连接到网络,或在核心网络中追踪受害者设备的位置,从而在刑事调查期间设置虚假的不在场信息或种植假证据。 尽管目前 5G 风口正在到来,但离真正普及还需一段时间,近 2 年内 4G LTE 仍是主流,这意味着这些漏洞攻击还将持续很长时间。 稿源:cnBeta、TechWeb,封面源自网络

美参议员炮轰 CBP 电子护照系统存在长达十年的漏洞

据外媒报道,过去十年,美国边境检查人员一直未能有效加密地验明入境人员的护照信息,原因是政府没有合适的软件。在写给美国海关与边防局(CBP)代理司长 Kevin K. McAleenan 的信中,参议员 Ron Wyden 和 Claire McCaskill 要求其就此事作出答复。电子护照的芯片中嵌入了包含机器可读文本和加密信息,可以轻松验证护照的真实性和完整性。 自 2007 年引进以来,所有新发放的护照都是电子护照。在免签名单上的 38 个国家的公民,也都必须持有电子护照,才被允许进入美国。 加密信息使得一本护照几乎不可能被伪造,此外也有助于防止身份盗窃。然而参议员在本周四的这封信中指出,边防人员“缺乏验证电子护照芯片的技术能力”: 即便他们已经在大部分入境口岸部署了电子护照阅读器,CBP 依然没有必要的软件,来验证电子护照芯片上存储的信息。 特别是 CBP 无法验证存储在电子护照上的数字签名,这意味着 CBP 无法判断智能芯片上储存的数据是否被篡改或伪造。 令人震惊的是,早在 2010 年的时候,海关和边防部门就已经意识到了这个安全漏洞。 当年,政府问责办公室在一份报告(PDF)中首次点名批评了 CBP 的上级(国土安全部),指责其“在信赖数据之前,还没有实现验证数字签名所必须的全部功能”。 换言之,在国土安全部门堵住疏漏之前,边防人员只得继续依赖缺乏合理保证的系统,被电子护照芯片上可能被伪造的计算机数据给欺骗。 那么,8 年过去了,CBP 是否已经亡羊补牢了呢?遗憾的是,该机构仍不具备在电子护照上验证机器可读数据的技术能力! 新闻炸锅之后,约翰霍普金斯大学密码学讲师 Matthew Green 在一条推文中写到: 如果你持有一本来自免签国家的护照,那么边防人员只会从电子芯片上读取你的照片和旅行信息,而这些数据的可信度是无法保证的。 马修·格林继续评论道: 令人谛笑皆非的是,尽管这种电子护照是美国在经历了 9/11 恐袭后强行向全球推出的,我们却一直未能正确地使用它。 参议员们希望,有关部门可以在明年年初之前,提出一项对电子护照进行适当的身份验证的计划。不过截止发稿时,CBP 的发言人并没有回应媒体的置评请求。 稿源:cnBeta,原文编译自:ZDNet , 来源:Wyden-Security-Letter(PDF)

NSA 泄露的黑客工具被改良,适用于 Windows 2000 之后的所有版本

去年,黑客组织 Shadow Brokers 公布了美国国家安全局 NSA 的内部黑客工具和漏洞利用代码,包括三大工具 EternalChampion、EternalRomance 和 EternalSynergy,近日一位安全研究人员 Sean Dillon(RiskSense)  改良了这三大黑客工具的源代码,使其适用于 Windows 2000 之后 20 年间的所有微软操作系统,包括 32 位和 64 位版本。 Sean Dillon 网名为 @zerosum0x0 在推特上演示了改良后的代码在一个开源渗透测试框架 Metasploit Framework 的测试结果。测试结果显示,改良后的代码利用了 CVE-2017-0143 和 CVE-2017-0146 漏洞,在渗透框架中巨量未打补丁的 Windows 系统版本均可以被漏洞影响。zerosum0x0 还表示将尽快在 GitHub 上释出可执行的代码 稿源:cnBeta,封面源自网络

ARM 安全更新:CPU 漏洞影响部分 iOS 设备、Apple TV

英特尔处理器安全漏洞事件仍在继续,英特尔 CEO 已经表示「手机等所有产品」都将受到影响。ARM 发布的最新安全更新表示部分 iPhone、iPad、iPod 和 Apple TV 可能会受影响。ARM 处理器安全更新罗列了容易受影响的处理器列表,其中包括 Cortex-A8、Cortex-A9 和 Cortex-A15。 虽然苹果自己定制 A 系列芯片,但这些都是基于 ARM 架构的。一些 A 系列芯片包含一些 Cortex-A8、-A9 和 -A15 处理器的元素,所以容易受到影响。 A4 芯片包括 Cortex-A8 处理器,被用在第一代 iPad、iPhone 4、四代 iPod Touch 和二代 Apple TV 中。A5 和 A5X 芯片包括双核 Cortex-A9 处理器。A5 用在 iPad 2、 初代 iPad mini、iPhone 4S、第三代 Apple TV 和第五代 iPod Touch。A5X 用在第三代 iPad。A6 带有 Cortex-A15 的一些元素,用在 iPhone 5 和 iPhone 5C 中。 可能会受到影响的苹果设备如下: – iPhone 4 – iPhone 4S – iPhone 5 – iPhone 5C – iPad (1st gen) – iPad 2 – iPad (3rd gen) – Apple TV (2nd gen) – Apple TV (3rd gen) – iPod Touch (4th gen) – iPod Touch (5th gen) 虽然 ARM 表示部分 iOS 设备和 Apple TV 可能会受到影响,但其表示被利用的几率很低。而且苹果也会像对待 macOS 那样即使更新补丁,只不过至于性能是否会下降目前还不是很清楚。 稿源:MacX,封面源自网络

安全研究人员发现苹果 HomeKit 漏洞更新后反而更严重

就在这个月月初的时候,有开发者发现了 HomeKit 中存在的严重漏洞,能允许任何人不经授权地控制网络中的设备。可惜的是在经过大半个月之后,苹果依旧没能完美解决这个问题。据了解,早在 10 月 28 日的时候,一位名叫 Khaos Tian 的开发者就已经发现了问题所在,并在 10 月 29 日将其汇报给苹果的产品安全团队。 尽管苹果在回信中承诺他们会在整个 11 月内展开调查,但此后这位开发者又发送了多封电子邮件,却并无回信。 然而当 iOS 11.2 新版本到来后,Khaos Tian 失望地发现尽管苹果确实修复了一些报告中提到的问题,但却反而让攻击变得共容易了。 开发者表示 HomeKit 现在存在的整个漏洞包含两个问题:尽管理论上任何人都无法找到 HomeKit 设备独特的识别码,但有两个各自独立的 BUG 却让攻击者有可能找到,而不需要任何授权。第二,如果有未经授权的某人向 HomeKit 设备发送指令,HomeKit 不会对其进行任何认证,而是简单地让指令通过。 如果你的家中开始应用 HomeKit 设备,那么这个问题可能会变得很严重,因为使用智能锁的家庭已经越来越多了。一旦智能锁形同虚设,那就非常危险。不过 Khaos Tian 抱怨说,其实最大的危险在于苹果这次的反应太慢了。 我们或许会在下一个版本中看到事情的完美解决 —— 谁知道呢?或许最终这个 BUG 不会造成严重的影响,但苹果是得更上心些。 稿源:cnBeta、威锋网,封面源自网络;编辑:榆榆

苹果 macOS 系统存在高危漏洞,root 账户无需密码可解锁系统(已修复)

据国外媒体报道,苹果 macOS High Sierra 系统被曝出现多年来最大的安全漏洞,允许未授权用户无需密码就能获得系统管理权限。此外,还有可能被黑客远程安装恶意软件或控制操作系统。 据称,该安全漏洞只要在用户登录界面中的用户名一栏输入“ root ”,其密码栏无需输入任何内容,点击确定就可以解锁系统。随后,外媒网站记者在多台不同系统版本的 Mac 计算机上进行尝试,发现该漏洞仅限于 High Sierra 版本。目前,苹果表示正在开发软件更新解决问题,并建议用户设置 root 密码来阻止未授权用户访问 Mac 电脑。 11 月 30 日 跟进报道: 苹果昨日已发布 macOS 紧急安全补丁 Security Update 2017-001 修复这一严重的安全漏洞。与此同时,苹果也通过媒体对外发表声明,就此事所带来的影响向所有 Mac 用户道歉。苹果声明如下: 安全对每一款苹果产品来讲都是至关重要的,很遗憾我们在这次的 macOS 更新上犯了错误。当我们的安全工程师在昨天下午意识到这个问题的时候,我们立刻开始着手准备更新并修补漏洞。今晨 8 点,安全更新已经推送,从现在开始补丁将自动安装在运行 macOS High Sierra 10.13.1 的系统上。我们十分遗憾出现了这个错误,我们向所有 Mac 用户道歉,既对带来这样一个漏洞表示歉意,也对带来的关注表示歉意。我们正在审核我们的开发流程,防止这种情况再次发生。 稿源:腾讯科技、cnBeta,封面源自网络;