标签: Adobe

Adobe Acrobat又曝新漏洞:点击恶意PDF文档会“一键被黑”

安全专家总是不厌其烦地劝告人们“不要随意打开来源不明的文件”,最新的案例就来自 Adobe Acrobat 软件的一个漏洞。周二的时候,思科塔洛斯研究人员披露了这款款流行的 PDF 阅读器的漏洞细节。如果 Acrobat 用户不小心打开了恶意 PDF 文档,很可能被攻击者一键入侵,在受害者的计算机上运行讨人厌的软件。万幸的是,官方已经给出了一个修复方案。 周二的时候,Adobe 为 Acrobat 发布了补丁,一同到来的还有其它多个安全更新。 研究人员们演示了他们可以借助一种名叫“缓冲区溢出”的经典黑客技术,这种方法允许攻击者覆盖软件程序的一部分,并运行他们自己的代码。 因此当你点击恶意文件后,电脑就会被黑客控制,并做出其希望的一些事情。此外,研究人员还发现了另外两个可能会被黑客利用,在受害者计算机上执行任意代码的漏洞。 不过相比之下,后者对攻击者的技术能力要求更高一些。对于此事,Adobe 方面没有立即回复记者的置评请求。 实际上,这是 Adobe 在五月份推出的第二批补丁。本月早些时候,该公司修补了其云端和 Flash 应用程序的一批漏洞。   稿源:cnBeta,封面源自网络;

韩国互联网安全局(KISA)预警:朝鲜黑客利用 Flash 零日漏洞针对性攻击韩国网民

外媒 2 月 1 日消息,韩国互联网安全局(KISA)于近期发布警报称朝鲜黑客已利用 Adobe Flash Player 中的 “ 零日” 漏洞在野外开展攻击活动。据相关研究人员介绍,黑客组织通过诱骗用户打开一个分发恶意 Flash 文件的 Microsoft Office 文档、网页或者垃圾电子邮件来对该漏洞加以利用,从而达到操控用户系统的目的。 韩国计算机应急响应小组(KR-CERT)透露,特制的 Flash 文件中存有恶意代码。 目前看来,该恶意代码很可能嵌入在 Word 文档的 Flash SWF 文件中。 韩国安全公司 Hauri Inc.的研究员 Simon Choi 表示,朝鲜黑客自 2017 年 11 月中旬开始利用 “ 零日”,其主要目的可能是为了攻击韩国用户 。针对上述情况,Simon Choi 建议用户在 Adobe 发布补丁之前禁用或卸载 Adobe Flash Player。 Adobe 方面目前已经得到了报告,并计划在 2 月初发布新版本来解决该漏洞。Adobe 表示从 Flash Player  版本 27 开始,管理员可以设置成用户播放 SWF 内容之前收到提示信息。当然,管理员也可以开启 Office 保护视图,以只读模式打开可能不安全的文件。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

俄间谍组织 Turla 利用捆绑后门的 Flash 安装程序针对东欧各国使馆展开攻击活动

ESET 安全团队发现由国家资助的俄罗斯网络间谍组织 Turla 为其网络军械库增添了一款新“武器”,旨在针对 东欧各国使领馆开展攻击活动。据研究人员介绍说,Turla 将其后门与合法的 Flash Player 安装程序捆绑在一起,试图欺骗目标用户安装恶意软件,以便窃取敏感信息。 Turla 组织长期以来一直使用社交工程来引诱目标人群下载和安装伪造的 Adobe Flash Player。但 ESET 近期研究发现,该组织并未局限于以往的攻击工具 ,而是继续开发新型网络攻击武器。 据 ESET 透露 Turla 组织现在不仅将其后门与合法的 Flash Player 安装程序捆绑在一起,而且进一步融合更多可行方式,以确保所使用的 URL 和 IP 地址与 Adobe 的合法基础结构相对应。这样一来,攻击者基本上能够利用 Adobe 诱使用户下载恶意软件,并且使用户相信其下载的软件是来自 Adobe 官方网站(adobe.com)的。 自 2016 年 7 月以来该新工具的攻击活动中有几个与 Turla 组织有关的特征,其中包括该组织创建的后门程序 “ 蚊子”(Mosquito),以及之前与该组织关联使用的IP地址。 除了上述相关特征之外,新工具与 Turla 组织传播的其他恶意软件家族也有相似之处。 攻击媒介 ESET 研究人员提出了几个假设(如下图所示),是关于 Turla 的恶意软件如何应用到用户的计算机上。下图按照图标依次为:① 本地中间人攻击、② 危及网关 、③ ISP 更改流量、④ BGP 劫持、⑤ Adobe 某种威胁,其中 ⑤ 的假想被认为是不太可能成立的。 经过假设以及验证,ESET 研究人员考虑的可能的攻击媒介是: — 受害者组织网络内的一台机器可能被劫持,以便它可以作为本地中间人(MitM)攻击的跳板,这将有效地将目标机器的流量重定向到本地网络上的受感染机器上。 — 攻击者还可能危及组织的网关,使其能够拦截该组织的内部网和互联网之间的所有传入和传出流量。 — 流量拦截也可能发生在互联网服务提供商( ISP )的层面上 。 — 攻击者可能使用边界网关协议(BGP)劫持来将流量重新路由到 Turla 控制的服务器,虽然这种策略可能会相当迅速地启动 Adobe 或 BGP 监视服务的警报。 一旦成功安装并启动假 Flash 程序,前面所使用的几个后门则可能被丢弃,如后门 Mosquito ,它是一个 Win32 恶意软件,通过恶意 JavaScript 文件与 Google Apps 脚本上托管的 Web 应用程序通信,或者是从伪造的和不存在的 Adobe URL 下载的未知文件。 然后,这个阶段将被设定为任务的主要目标——过滤敏感数据,包括受感染计算机的唯一 ID、用户名以及安装在设备上的安全产品列表。而用户名和设备名称则会由 Turla 所使用的后门从在 MacOS 上过滤出来。 在这个过程的最后一部分,伪造的安装程序会丢弃随后运行合法的 Flash Player 应用程序以便迷惑用户。后者的安装程序要么嵌入到其伪造的对象中,要么从 Google Drive 网址下载。为了在系统上建立持久性,恶意安装程序还会篡改操作系统的注册表,创建一个允许远程访问的管理帐户。 目前,ESET 的研究人员称已经发现了 Turla 后门 Mosquito 的新样本,不过其代码分析更加困难。 相关阅读: <Turla’s watering hole campaign: An updated Firefox extension abusing Instagram> <Carbon Paper: Peering into Turla’s second stage backdoor> 消息来源:welivesecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Adobe 产品安全团队不慎将 PGP 私钥公布至网络

据外媒报道,Adobe 产品安全事件响应团队(PSIRT)日前在发布 PGP 公共密匙后还把私人密匙公布出来,这意味着该 PGP 签名不再安全,获得密匙的黑客则能借此盗取邮箱通信内容。安全研究员 Juho Nurminen 经调查确认表示,曝光的密匙跟 psirt@adobe.com 邮箱账号存在关联。 种种迹象表明,此次的意外事件应该跟团队成员的失误有关,当时他应该是通过 Chrome 或 Firefox 插件 Mailvelope 将 FSIRT 共享网页邮件账号的文本文件分享到团队的博客上。看起来该名成员将本应该点击的 “公共(public)”点成了 “所有(all)”,于是,公共密匙和私人密匙都被发布到了 Adobe 的 PSIRT 博客上。 然而,尽管这似乎是人为错误,但私人密匙的泄露仍旧呈现了一个相当严重的问题。目前,Adobe 已经移除了这组曝光的密匙并更换了一个新的公共密匙。 稿源:cnBeta,封面源自网络;