标签: 腾讯安全团队

SQLite 漏洞 Magellan 2.0 允许黑客在Chrome浏览器上远程运行恶意程序

近日腾讯刀锋(Tencent Blade)安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞,允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个,编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753,所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。 Magellan 2.0(麦哲伦)是一组存在于SQLite的漏洞。它由Tencent Blade Team发现,并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中,因此该漏洞影响十分广泛。经测试,Chrome浏览器也受此漏洞影响,目前Google与SQLite官方已确认并修复了此漏洞。 根据腾讯刀锋安全团队官方博文,除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外,苹果旗下iPhone, iPad, MacBook,, Apple Watch, Apple TV等多款热门产品也受到影响。 SQLite漏洞是Tencent Blade Team在安全研究中,通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan(麦哲伦)”。根据SQLite的官方提交记录,麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞,攻击者可以在用户电脑上远程运行恶意代码,导致程序内存泄露或程序崩溃。 目前,Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时,Tencent Blade Team也提醒用户及时关注系统与软件更新通知,需将SQLite升级到目前最新的3.26.0 版本。 上周发布的谷歌Chrome 71,也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器,都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium,因此仍会受到影响。 另外,虽然并不支持Web SQL,但Firefox也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议,使用Chromium系产品的团队,请尽快更新至官方稳定版本71.0.3578.80,如果使用产品中涉及SQLite,请更新到3.26.0. 另外,如暂时没有条件采用官方提供的修补方案,也有一些应急建议方案: 关闭SQLite中的fts3功能; 禁用WebSQL:编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范,目前仅有Chrome、Safari支持。 最后,验证方法:重新编译后的内核应无法在控制台调用openDatabase函数。   (稿源:cnBeta,封面源自网络。)

腾讯安全团队:谷歌 AI 学习系统存在重大安全漏洞

腾讯安全平台部 Blade 团队日前对外发布消息称,该团队在对谷歌人工智能学习系统 TensorFlow 进行代码审计时,发现该系统存在重大安全漏洞,利用该系统进行编辑的 AI 场景,有遭受恶意攻击的可能。据腾讯安全平台部负责人杨勇介绍,TensorFlow 是目前谷歌免费开放给 AI 设计者的编程平台,程序员可以在该平台上进行 AI 组件的设计工作。 杨勇表示,当含有安全风险的代码被编辑进诸如面部识别或机器人学习的 AI 使用场景中,攻击者就可以利用该漏洞完全接管系统权限,窃取设计者的设计模型,侵犯使用者隐私,甚至对用户造成更大伤害。通俗地讲,如果设计人员在给机器人编程时恰好使用了含有该漏洞的组件,那么恶意攻击者就有可能利用漏洞控制该机器人,这是非常可怕的。目前我们在AI安全领域还只是迈出了一小步,未来期待更多的技术人员一起完善 AI ,让 AI 更安全……” Blade 团队表示,TensorFlow 是目前应用最为广泛的机器学习框架之一,已被运用在诸多 AI 场景中,如语音识别、自然语言理解、计算机视觉、广告、无人驾驶等;其一旦被黑客控制,后果不堪设想。目前 Blade 团队已将漏洞的运用机理致函谷歌公司,而该漏洞需要谷歌安全团队对代码重新编辑。对此,一些业内专家也表达了担忧。 上海信息安全行业协会专委会副主任张威认为,当前从事人工智能开发的企业几乎无一例外地将算法和数据相融合,一些数据可能涉及企业和用户的核心秘密,一旦出现安全漏洞,风险较高。张威建议,有关企业应尽快自查是否使用过该平台进行 AI 编程,同时行业内应加强联系沟通,消除安全隐患。 稿源:网易新闻、澎湃新闻,封面源自网络;编辑:青楚

黑产公民信息报价单:地下市场手机账单信息最贵

(原标题:地下市场手机账单信息最贵) IT 时报报道,腾讯安全团队发布了一份黑产公民信息报价单,涉及十三项公民信息种类,报价最低 1 元一条,最高达到 3000 元。报价最高的是手机话费账单(详单),每一份的报价高达 2000 元~ 3000 元。 一位业内人士透露,由于话费账单中可能涉及各类商务往来的关键信息,因此经常流通于私家侦探业务市场以及非法讨债公司之间,甚至会有商业间谍依托查询竞争对手的手机通话信息来获取关键突破信息,牟取暴利。 目前,这一类信息在地下黑市的报价最高。其次是公民银行流水单,每份的报价为 1000 元~ 3000 元,其中最大的买主同样是来自私家侦探业务以及非法讨债公司。这两大逐步形成成熟交易链条的行业是目前地下黑产最为稳定且主流的交易 “伙伴”,而随着国家对地下黑产市场的严打,敏感调查对象的价格正在水涨船高。身份证户籍信息、制作假文凭、假证书、开房记录、手机基站位置等信息在地下黑产的报价相对较低,平均在 10~500 元之间不等。报道声称,黑客主要是通过内部人士以及通过攻击网站获取公民信息。 稿源:solidot 奇客;封面源自网络