安全快讯Top News

Zerocoin 源码一字之差损失 58 万美元,市场 1/4 零币均系伪造

去年孟加拉银行因 SWIFT 系统漏洞曾遭黑客盗取 10 亿美元,因为黑客转账时一字之差给银行挽回巨大损失,最终只被窃走 8100 万美元。然而这次,虚拟货币 Zerocoin 也发生了一起重大的生产事故,因代码多打一个字符导致公司损失超过 58.5 万美元(约合人民币 401.85 万元)。 由于 Zerocoin 源代码中字符打印错误多印刷了一个字符,从而使 Zerocoin cryptocurrency 加密协议出现漏洞。攻击者可利用漏洞重复使用加密凭证创建新的 Zerocoin 支出交易。事实上,攻击者凭空创造出了约 370000 个新 Zcoin 币。除了 20000 多个 Zcoin 币之外,其他的 Zcoin 币都已被黑客交易使用并流进市场。 被创造的 370000 个新 Zcoin 币相当于整个 Zcoin 市场价值的四分之一。换句话说,目前流通的零币有四分之一是伪造的。 Zerocoin 团队称攻击者十分“专业”,他们通过生成大量的交换账户、分散存款和提款等手段来隐蔽真实交易。此外,Zerocoin 称加密协议不存在漏洞、匿名性不受影响,问题出在代码印刷错误。目前漏洞已经修复。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌安全团队公布 Windows 10 漏洞:微软仍未提供修复方案

据外媒报道,近日,谷歌 Project Zero 公布了其在 Windows 10 中发现的一个漏洞。据悉,该漏洞位于用于处理大量程序的 gdi32.dll 文件中。Project Zero 是谷歌公司在 2014 年推出的一项网络安全项目,旨在遭恶意软件利用之前找到并修复该安全漏洞。据了解,Project Zero 在发现漏洞之后并不会马上公布于众,而是会将这一情况反应给软件开发商并给他们 90 天的修复时间,如果该开发商未在这一期限内完成修复那么团队就会对外公布。 针对这一漏洞报告,微软方面并未作出回应,所以近期是否会有修复方案就不得而知。按理说,微软应当在此前的周二补丁日向用户推送该漏洞修复更新,但在那天,微软却宣布延迟,换句话说,用户将最快在下个月 14 日才可能补上该漏洞。 稿源:cnBeta;封面源自网络

Mozilla 将在 2017 年底淘汰 XUL 扩展

Mozilla 官方博客正式宣布 2017 年 11 月 14 日发布的 Firefox 57 将终止支持 XUL 扩展。 扩展或现有的 XUL 扩展本是 Firefox 吸引用户的一大特点,然而在采用多进程架构过程中 Mozilla 发现 XUL 扩展不支持多进程,存在性能和安全方面的问题,因此它在考虑之后决定拥抱 Google 浏览器支持的 WebExtensions 扩展技术。WebExtensions 扩展相比 XUL 扩展支持的功能较少,因此这一迁移将会导致现有的 XUL 扩展难以移植,很多流行的 XUL 扩展将被迫淘汰或终止更新,此举引发了大量 Firefox 资深用户的反感。但多进程以及新的渲染引擎 Servo 代表着未来,Mozilla 无疑明白用户的反应,它只能这么一直走下去。 根据 Mozilla 的计划:4 月 18 日发布的 Firefox 53 将默认启用多进程架构,如果浏览器安装了不支持多进程的扩展,那么浏览器将仍然使用单一进程;11 月 14 日发布的 Firefox 57 将默认只运行 WebExtensions 扩展。 稿源:solidot奇客,封面源自网络  

特朗普政府提议检查中国游客的社交媒体账号

特朗普政府提议扩大社交媒体检查范围,涵盖访问美国的中国游客。美国海关和边境保护局提议要求中国游客披露在流行社交媒体平台如 Twitter 和 Facebook的用户名或其它身份。披露社交媒体账号是可选的,拒绝披露也不会带来负面诠释或推论。 国土安全部部长 John Kelly 上周告诉国会,他们正考虑要求外国游客交出社交网络的密码,“如果他们要进来,我们想要知道他们访问了哪些网站,要求他们提供密码,这样我们将能知道他们在互联网上做了什么。” 稿源:solidot奇客;封面源自网络

以色列国防军遭“色诱”感染间谍软件 ViperRAT,泄露敏感信息

据 Lookout 和 卡巴斯基报道,一群高度复杂的由国家支持的黑客正在使用 Android 恶意软件 ViperRAT 对以色列军队进行间谍攻击,窃取士兵手机资料并监控日常活动。 目前已知 100 多名使用三星、HTC、LG 和华为等品牌手机的以色列国防军士兵设备感染了间谍软件,并远程泄漏了高价值的数据,包括照片和音频录音。 攻击策略:美人计 间谍组织冒充来自加拿大、德国和瑞士等不同国家且具有魅力的女性与士兵进行 Facebook 通信。之后,美女以各种手段诱骗士兵下载恶意软件,如 SR Chat 和 YeeCall Pro 此类的聊天软件,以及台球游戏、歌曲播放器等娱乐软件。恶意软件会扫描士兵的智能手机并下载另一个恶意应用程序 ViperRAT ,并伪装成 WhatsApp 更新、要求各种权限。 窃取、收集信息 恶意软件 ViperRAT 可控制电话的麦克风和相机,窃听士兵的对话并进行实况拍照,近 9000 张摄像头拍摄的照片已被加密传输给攻击者。收集的数据还包括地理位置,通话记录,个人照片,短信,基站信息,网络和设备数据,互联网浏览和应用下载历史记录。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

多款 Android 应用存漏洞,数百万汽车面临被盗风险

近日,卡巴斯基的一组研究人员对 9 辆互联网汽车的 Android 应用(来自 7  家公司)进行了测试,这些应用的下载量已经超过几十、上百万,但却连最基础的软件保护都没有提供。 研究人员表示,通过 Root 目标设备获得欺骗用户安装恶意代码,黑客能够使用卡巴斯基所测试的所有 7 款应用来定位车辆位置,解锁车门,甚至能够在某种情况下点火启动。研究人员发现最糟糕的攻击行为是,允许黑客进入到锁定车辆的内部;通过仿制钥匙或则禁用车辆的防盗器等额外手段,偷车贼能够产生更严重的后果。研究人员指出尽管并未纳入到本次的测试中,但是特斯拉的汽车允许通过智能手机应用启动驾驶,一旦智能手机被入侵将会产生更严重的损失。 目前尚未发现有 Android 恶意软件激活使用这种攻击手段。不过研究人员仍然认为,只是单单查看应用的代码脚本,偷车贼都可能知道利用这些漏洞和功能。消息指出,来自黑客论坛的有限证据已经表示在这种攻击已经在黑市上引起了注意和兴趣。 为了避免那些偷车贼利用这些信息进行犯罪,目前安全公司并未对外透露关于测试应用的详细名称。不过,他们认为应该向汽车行业发出警告,要求汽车制造商更加谨慎的对待安全问题。 据 搜狐科技、威锋网 消息整理,封面源自网络

危险!德国网络监管局警告家长慎用连网智能玩具

德国政府监管机构联邦网络局发出警告,家长应尽快销毁一些为他们孩子设计的可连接互联网的智能玩具。该机构发现玩具中包含的技术并不安全,并且很容易被黑客攻击并且控制泄露儿童隐私。 其中一件有问题的玩具产品是 My Friend Cayla,它可以聆听儿童的问题并且连接到互联网上寻找答案。 它的工作原理非常像我们手机上的数字助理,但该设备被发现是严重缺乏安全功能。研究人员证明,攻击者可以窃听甚至通过这个玩具和儿童对话,它的蓝牙连接功能,也可以让附近的恶意人士控制 My Friend Cayla,无需和儿童在同一间房间内。 在去年年底,消费者已经因为类似原因向美国联邦贸易委员会投诉 My Friend Cayl 玩具制造商。德国监管机构发现这款玩具相当于一个隐藏的发射装置,根据德国严格的隐私法,这是非法的。销售或购买被禁止的监控系统可以最高判刑两年,因此德国政府监管机构联邦网络局鼓励父母简单地销毁这款玩具。 稿源:cnbeta,有删改,封面来源于 cnBeta

美国共和党议员对环保署使用 Signal 消息加密应用表达担忧

两名美国共和党议员 Lamar Smith 和 Rep. Darin LaHood 正式致函环保署总督察办公室,对部分环保署官员使用加密消息应用 Signal 秘密讨论规划策略表达担忧,认为此举可能与自由信息法相冲突。 Signal 是一款采用 Signal 协议的端对端加密消息应用,服务商基本不保留用户数据。在特朗普当选美国总统后,Signal 应用吸引了越来越多的用户。两位议员指出,环保署以前检查过雇员使用短信讨论政府事务,发现只有很少一部分消息在信息自由法下保存下来。他们担心使用 Signal 将导致环保署无法遵守联邦的记录保存要求。他们要求环保署在 2 月 28 日前做出回应。 稿源:solidot奇客,有删改,封面来源于网络

Adobe 发布 Flash 插件更新,修复重大安全漏洞

Adobe 本周发布了 Flash Player 版本 24.0.0.221 ,新版解决了可能导致攻击者控制被感染系统的重大安全漏洞。受影响的系统包括 Mac 、Windows、Linux 和 Chrome OS。安装有 Flash 24.0.0.194  或更早版本的 Mac 用户应该立刻升级。 谷歌 Chrome 浏览器内置 Flash 会自动升级至 24.0.0.221 版本。这次的安全漏洞由谷歌、微软、 Palo Alto Networks 和 Trend Micro 公司的安全团队发现。 macOS Sierra 系统中的 Safari 会默认禁用 Flash 插件,用户可以手动打开。在过去1年中,Adobe 已经发布了 15 次 Flash 插件重大安全漏洞修复补丁。 稿源:cnBeta;封面源自网络

OpenSSL 1.1.0 修复高严重性漏洞 CVE-2017-3733

本周四,OpenSSL 开发团队修复了高严重性 DoS 漏洞( CVE-2017-3733 )。该漏洞是由红帽子 Joe Orton 于 1 月 31 日报道,并称该漏洞为“ Encrypt-Then-Mac 重新协商崩溃”漏洞。在重新协商握手期间,如果 Encrypt-Then-Mac 扩展协商不是在原来的握手过程中会导致服务崩溃(依赖于 OpenSSL 密码套件)。目前确定客户机和服务器都受影响的。 漏洞影响范围: OpenSSL 1.1.0 版本 ** OpenSSL version 1.0.2 版本不受影响 修复方案 将 OpenSSL 1.1.0 升级到最新版本 OpenSSL 1.1.0e 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。