据外媒 1 月 2 日报道，印度安全研究人员 Ashutosh Barot 发现 phpMyAdmin 存在一个严重的 CSRF 安全漏洞——通过欺骗管理员点击链接来执行危险的数据库操作，比如删除记录、删除/截断表等。Barot 称 phpMyAdmin 4.7.7 之前的版本都受到该漏洞的影响，并且可能会泄露敏感数据。 CSRF ：跨站点请求伪造漏洞（也称为 XSRF），可在（已通过身份验证的）目标在不知情的情况下以目标名义伪造请求然后发送到受攻击站点，从而在并未授权的情况下执行一些操作。 phpMyAdmin 的一个特性是使用 GET 请求，在数据库操作的 POST 请求之后，GET 请求必须受到保护以防止 CSRF 攻击。在实例演示中，攻击者使用 URL 发送 POST 请求可能会欺骗数据库管理员单击按钮，执行删除数据库。 但是要进行这种攻击并不简单，因为要利用 CSRF 攻击 URL ，所以攻击者很可能知道目标数据库以及数据表的具体名称。那么这些信息是如何泄露的呢？ 根据上述猜想，Barot 对此进行研究发现若用户通过单击插入、删除等按钮来操作数据库，那么 URL 将包含数据库和表名称。 而 URL 又存储在不同的地方，比如浏览器历史记录，SIEM 日志，防火墙日志，ISP 日志等，因此 Barot 认为该漏洞很可能会导致敏感信息泄露。 目前，phpMyAdmin 已发布了 phpMyAdmin 4.7.7 版本来解决这个 CSRF 漏洞。 消息来源：thehackernews，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 1 月 1 日报道，网络安全软件公司趋势科技证实一些型号的 Sonos 和 Bose 智能音箱存在安全漏洞，或可导致设备被劫持。相关研究人员称攻击者利用该漏洞进行简单的网络扫描，从而远程操控设备，例如播放诡异的音乐以及执行 Alexa 语音命令。虽只有小部分型号的音箱受到影响（其中包括 Sonos One 和 Bose SoundTouch ），但目前为止约有 2500 – 5000 台 Sonos 设备和 400- 500 台 Bose 设备已遭到攻击 。 据趋势科技研究人员介绍，攻击者通过扫描互联网寻找易受攻击的设备，一旦发现存有漏洞的音箱就立即使用 API 来引导其播放托管在特定 URL 上的音频文件。研究人员解释说有缺陷的音箱允许同一网络上的任何设备在未进行身份验证的情况下使用如 Spotify 或 Pandora 之类的应用程序的 API。攻击者利用该 API 可以播放任意 URL 的音频文件。此外，攻击者除了任意播放音乐，还制造了一些更加恐怖的攻击场景，比如通过语音助手设备控制门锁、空调和照明等智能家居的功能。 趋势科技称之所以会出现音箱被人侵的事件，其主要原因可能与这些音箱连接到一个错误配置的网络上有关。目前 Sonos 表示已发布安全补丁，解决了包括拒绝服务（DoS）错误在内的一些问题，但 Bose 方面仍然没有回应。 相关参考阅读： < The Need for Better Built-in Security in IoT Devices > 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 1 月 1 日报道，研究苹果 iOS 操作系统的安全人员 Siguza 公布了 macOS 中一个未被修复的 0day 的 POC 细节：攻击者可以利用该漏洞访问系统、执行任意代码以及获得 root 权限。该漏洞会影响 macOS 的所有版本，可能导致内核中出现任意读/写的问题，同时也使得黑客能够禁用系统完整性保护（SIP）和 Apple 移动文件完整性（AMFI）安全功能。 安全研究员 Siguza 在试图破解 iOS 内核漏洞时注意到 IOHIDFamily，这是一种为人机界面设备( HID )设计的内核扩展，比如触摸屏或按钮。 目前 Siguza 公布的开发和概念证明（POC）代码只适用于 macOS High Sierra 10.13.1 及更早版本，但研究人员认为可以将该代码调整到适用于苹果 12 月 6 日发布的最新版本 10.13.2 。 专家认为，至少从 2002 年起这个漏洞就已经存在，但是一些线索表明漏洞潜藏时间至少 10-15 年。 值得注意的是，有些研究人员认为公开 POC 会使 macOS 用户面临被攻击的风险， 但 Siguza 认为事实并非如此。 消息来源：SecurityWeek，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 30 日报道，Lurk 网络犯罪团伙的黑客 Konstantin Kozlovsky 承认在 FSB（ 俄罗斯联邦安全局信息安全中心） 的要求下开发了 WannaCry 勒索软件和 DNC 黑客软件，并为其破解了美国民主党的服务器以及希拉里·克林顿的电子邮件服务器。根据 Kozlovsky 的供词显示， 2014 年雅虎服务器的入侵事件可能也与 FSB 有关。 Lurk 网络犯罪团伙因开发、维护和租用钓鱼漏洞开发工具包闻名。黑客团伙利用 Lurk 银行木马从俄罗斯金融机构窃取了约 4500 万美元资金，其成员于 2016 年被俄罗斯警方逮捕。 据俄罗斯网站 crimerussia.com 报道，黑客 Kozlovsky 称 Lurk 团伙开发的 WannaCry 勒索软件主要针对企业网络，能够通过感染大量的机器得到迅速传播，最终达到“一键”瘫痪目标网络能力的目的。黑客团伙还甚至计划利用 WannaCry 破解俄罗斯第三大钢铁生产企业——Novolipetsk钢铁公司网络，并试图干扰高炉运作。 知情人士透露，美国之前认为朝鲜是今年 5 月利用 WannaCry 进行网络攻击的幕后黑手，不过目前 Kozlovsky 表示 WannaCry 是为 FSB 开发的，并指认这些攻击行动是由 FSB 的 Dmitry Dokuchaev （被指控在 2014 年入侵雅虎服务器的两名俄罗斯情报官员之一）协调完成的。但此番言论也遭到了 Dmitry Dokuchaev  的否认。 真相依旧扑朔迷离，媒体对此事件感到奇怪的一点在于——Kozlovsky 目前还被俄罗斯当局监禁，却反而指控 FSB 的其他黑客？ 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据 IBTimes 英文网报道，越南人民军总政治部副主任 Nguyen Trong Nghia 于 12 月 25 日宣称越南已建立 “ Force 47 ” 网络战部队，旨在打击互联网上传播的 “错误观点” 。Nguyen Trong Nghia 表示越南应毫不犹豫向世界展示 “ Force 47 ” ，并且必须每时每刻都做好主动打击敌人的准备。目前该部队可能已经开始在某些地区运作。 东南亚国家互联网增长迅速，在越南 9300 万人口中，网民比例占据 63% 。如此强劲的增长率对国家发展虽有利但也有弊，比如敌人可以利用互联网制造混乱。 知情人士透露，越南政府对这些混乱和不能遏制容忍的言论自由产生了巨大的担忧。相关媒体称越南此前就采取措施管制互联网：越南政府曾要求 YouTube 和 Facebook 删除损害国家利益的视频和账号，因此 YouTube 于 2017 年下架了 4500 个视频，Facebook 移除了 159 个账号。 随着互联网发展愈加迅速，越南中央军事委员会有志于建立一支常备部队打击错误观点。目前越南军方与越南的政府部门已合作建立了一个装备精良的网络战部门 “ Force 47 ”。 对此网络安全公司 FireEye Inc 发出警告称，越南在防御能力相对较弱的地区构建了强大的网络间谍能力。网络间谍活动对国家的吸引力越来越大，部分原因是它可以通过适度的投资、似是而非的“推诿”和有限的风险提供大量的信息。 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，俄罗斯著名区块链专家、加密货币交易所 EXMO 负责人 Pavel Lerner 于 12 月 26 日在乌克兰首都基辅被绑架。EXMO 随后发表声明证实该绑架事件，并承诺 EXMO 的运营不会受到影响，所有的用户资金都是绝对安全的。目前执法人员正对此事进行调查，以了解 Lerner 被绑架的原因。不过有相关人士认为 Lerner 被绑架可能是涉及具有隐密货币背景的俄罗斯国民的又一起案件。 根据乌克兰执法机构的匿名信息，Lerner 在距离其工作地点不远的地方被不明身份的人士强行拖入奔驰车内（车牌号  AA 2063 MT ），随后开往未知方向。 虽然目前执法机构还在进行调查，但 EXMO 表示 Lerner 并没有直接访问任何加密货币账户或其他个人数据的权限，公司的运营以及所有的用户资金都不会受到影响。 事件后续 据北京时间 30 日凌晨消息，乌克兰内政部部长顾问安东·格拉斯申科（Anton Gerashchenko）透露，Lerner 周二在他的办公室附近被绑架，于周四被释放。 “帕维尔是被持枪歹徒绑架的，为的是勒索比特币。”同时，他还提到：“我们已掌握的信息显示帕维尔最后是支付了价值超过 100 万美元的比特币后才被释放的。” 在帕维尔周四被释放后，Exmo 和他本人都拒绝对此事进行评论。 消息来源：Thehackernews，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，稿件以及封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 26 日报道，知名安全调查员 Brian Krebs 发表博文称比特币作为地下网络犯罪中最常用的虚拟货币，其价格的飙升以及交易的相关费用可能会导致交易者将目光转向其他虚拟货币。 Krebs 称长期以来比特币的优势都在于其支付速度快、价格便宜、使用方便。在今年年初之前，比特币的收费还不到 0.10 美元。 而现在因为比特币价格的上涨以及支出的其他交易费用使得比特币在进行小额美元交易方面的吸引力大大降低，但这些交易占据了地下犯罪分子使用比特币支付交易的绝大部分。目前这种情形造成了数个主要的地下市场敦促其客户将资金存入其他的虚拟货币中，比如快捷、廉价的莱特币。 Krebs 引用了 Carder’s Paradise 的例子来进行解释。据悉，该商店也遭受了比特币价格上涨带来的困扰。 目前 Carder’s Paradise 的最低存款金额是 0.0066 BTC（大约USD $ 100），而每次交易的手续费为 15.14 美元，这意味着每当黑市的用户向该商店存入最低金额时，都会损失大约 15％ 的交易手续费。问题是， Carder’s Paradise 将所有存入的资金转给供应商时，这些供应商会收取额外的比特币交易费（与用户存款时相同的费用），甚至有时会遇到存入 1 美元多付 5 美元的情况，以至于 Carder’s Paradise 不得不从用户那收取在供应商处花费的交易费。为了补偿用户的成本，Carder’s Paradise 只有降低其价格（包括信用卡），并为用户提供更好的比特币汇率。 Krebs 解释说，交易费的金额取决于比特币网络上的负荷。但是，无论存款金额如何，交易费都保持不变，例如 10 $ 和 1 000 $ 的交易费是一样的。若比特币价格持续上涨，那么这个业务将就不会再为 Carder’s Paradise 赢利，因为所有的收入都将花在比特币的交易费上。 因此，Carder’s Paradise 希望用户尽可能多地使用 莱特币 。该商店负责人表示若用户储蓄的是莱特币， 他们不会收取任何额外费用。 针对该种情况，Krebs 在其博文中写道，虚拟货币在促进非法贸易方面发挥着至关重要的作用，其波动对犯罪生态系统产生的重大影响是很正常的。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 27 日报道，普林斯顿信息技术政策中心（ CTTP ）发现了利用浏览器“自动填充”漏洞窃取用户信息的最新玩法。目前，所有浏览器的登录管理器都存在着一种设计缺陷 ——登录管理器允许浏览器记住用户在每个特定网站上的用户名和密码，并在用户再次访问该网站时自动将其插入到登录表单。正是因为登录管理器的这种工作方式，网络追踪者可以在加载追踪脚本的网站上嵌入隐藏的登录表单，以便窃取用户信息。 普林斯顿隐私专家警告说，广告和分析公司利用登录管理器的漏洞设置隐藏的登录字段秘密提取网站用户名，并绑定未经身份验证的用户的个人资料或电子邮件访问该网站。 安全隐私专家称这种漏洞已存在十多年，仅在 XSS（跨站点脚本）攻击期间搜集用户信息。不过目前恶意人士已设计了新的攻击方式。 据悉，普林斯顿研究人员于近期发现了两种利用隐藏登录表单收集登录信息的网络跟踪服务：Adthink (audienceinsights.net) 、 OnAudience (behavioralengine.com)。这两种跟踪服务利用其脚本搜集了在 Alexa Top 100 万网站列表中发现的 1110 个网站的登录信息。目前登录信息只包含了用户名或电子邮件地址 ，并没有涉及到重要的密码信息。 鉴于这种情况，广告公司和分析公司通过窃取的用户名/电子邮件创建一个散列，并将该散列与网站访问者的现有广告配置文件绑定。研究人员介绍，电子邮件地址的散列是一个良好的跟踪标识符。因为电子邮件地址是唯一的、持久的，并且用户的电子邮件地址几乎不会改变，清除 cookie、使用隐私浏览模式、或者切换设备都不会阻止跟踪。网络追踪者可以通过电子邮件地址的散列来连接分散在不同浏览器、设备和移动应用程序上的在线配置文件。此外，该散列还可以作为 cookie 清除之前和之后浏览历史记录配置文件之间的链接。 知情人士透露，除了 Brave 浏览器之外，其他主流浏览器似乎都容易受到这种类型的攻击，例如基于 Chromium 的浏览器在用户点击页面时披露用户密码。研究人员目前已提出解决方法：厂商将浏览器设置为仅在用户与实际需要登录的字段交互时再自动填充即可。 根据普林斯顿的说法，秘密收集用户数据不仅限于侵犯了个人用户的隐私，实际上可能也违反了欧盟即将实行的 GDPR 法规，即使有些网站所有者并不清楚其行为属于跟踪范畴。 相关阅读 普林斯顿信息技术政策中心（CITP）提供的演示页面 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 27 日报道，以太坊交易平台 EtherDelta 的域名服务器（ DNS ）证实近期遭到黑客攻击，致使 308 以太币（ 约合 $266,789 ）及潜在价值数十万美元的代币被窃。据悉，此次网络攻击发生于本月 20 日，一度导致 EtherDelta 平台暂停服务，官方当日发表推文公布其 DNS 服务器遭受攻击等相关细节。直至 22日 EtherDelta 平台才完全恢复服务。 知情人士透露，此次黑客主要通过 DNS 劫持诱骗用户发送钱款。官方指出伪造的应用程序中不仅没有导航栏上的聊天按钮，也没有官方 Twitter 提要，并且还具有一个伪造的订单簿以便获取用户信任。 EtherDelta 在其推文中呼吁所有用户不要访问假冒的网站，并承诺使用 MetaMask 和 hardware 钱包的用户不会受到影响，以及从未在钓鱼网站上输入私钥的用户也是安全的。 目前全球各地已发生多起黑客入侵虚拟货币平台事件，如近期韩国加密货币交易所 Youbit 在今年第二次遭受重大攻击后宣布破产，加密货币矿业市场 NiceHash 也证实因黑客攻击导致价值 6000 万美元的比特币损失。 研究人员认为虚拟货币价格的飙升是吸引网络犯罪分子频繁进行攻击行动的主要原因。 更多阅读： ○ 韩国比特币交易所 YouBit 遭黑客入侵 宣布申请破产 ○ 挖矿算力市场 NiceHash 近 6400万美元比特币被盗 ○ 专家：2018 年比特币等加密货币将成黑客主要攻击目标 消息来源：Security Affairs，编译：榆榆；校审：FOX 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒 12 月 26 日报道，Mozilla 近期为其流行的开源  Thunderbird （”雷鸟 “）电子邮件客户端发布了重要安全更新，解决了其 RSS 和客户端中的缓冲区溢出漏洞、用户信息泄露、假冒邮件地址等问题。 Mozilla 于 12 月份发布了五个漏洞修补程序，以下内容为漏洞的具体信息。 CVE -2017-7845（危急） 运行在 Windows 操作系统上的 Thunderbird 的关键缓冲区溢出漏洞，是五个漏洞中最为严重的一个。Mozilla 公告显示，在使用 Direct 3D 9 和 ANGLE 图形库（用于 WebGL 内容）绘制和验证元素时会发生缓冲区溢出，因为检查期间在库中传递的值不正确导致了潜在可利用的崩溃。不过这一漏洞仅影响 Windows 操作系统，其他系统不受影响。 CVE-2017-7846（高危） 存在于雷鸟 RSS 阅读器中。通过网站查看 RSS Feed 时，例如通过 “View – > Feed article – > Website” 或标准格式的 “View – > Feed article – > default format”查看内容时，可以在解析的 RSS Feed 中执行 JavaScript 代码 。 CVE-2017-7847（高危） 在 RSS Feed 中制作的 CSS 可能会泄露并显示包含用户名的本地路径字符串。 CVE-2017-7848（中等） RSS 字段可以在创建的电子邮件结构中注入新行，修改消息正文。。 CVE -2017-7829（低） 假冒发件人的电子邮件地址，向电子邮件收件人显示任意的发件人地址。Mozilla 解释若在显示字符串中以空字符开头，那么真正的发件人地址将不会被显示出来。 今年早些时候，Mozilla 表示将更新雷鸟的用户界面，并将其与 Firefox 浏览器更加紧密地结合，逐步取消对 XUL 和 XPCOM api 上构建的传统组件的支持。 消息来源：threatpost，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。