网络安全研究人员上个月发现了一种名为RegretLocker的新型勒索软件，尽管该软件包没有多余的装饰，但仍可能严重破坏Windows计算机上的虚拟硬盘。 RegretLocker可以绕过加密计算机虚拟硬盘时的加密时间，还可以关闭并加密用户当前打开的任何文件。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1406/         消息来源：malwarebytes，封面来自网络，译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Facebook在Android Messenger应用程序中修复了一个漏洞，该漏洞可能使远程攻击者呼叫没有防备的用户，并在他们接听前监听它们的声音。 10月6日，Google零项目漏洞调查团队的Natalie Silvanovich将该漏洞发现并报告给Facebook，此漏洞影响到Android Messenger的284.0.0.16.11919版本（以及更早版本）。 简而言之，该漏洞可能会使登录应用程序的攻击者同时发起呼叫，并向同时登录应用程序和其他Messenger客户端（如web浏览器）的目标发送精心编制的消息。 Facebook的安全工程经理Dan Gurfinkel表示： “这将触发一种情况，即当设备响铃时，呼叫者会开始接收音频，直到被叫者应答或呼叫超时为止。” 根据Silvanovich的技术报告，该漏洞存在于WebRTC的会话描述协议（SDP）中，该协议定义了用于在两个端点之间交换流媒体的标准化格式，从而使攻击者可以发送一种称为“ SdpUpdate”的特殊类型的消息，该消息将导致呼叫在被应答之前连接到被叫方的设备。 通过WebRTC进行的音频和视频通话通常不会在接收者单击“接受”按钮之前传输音频，但是如果此“ SdpUpdate”消息在振铃时发送到另一终端设备，“将导致它立即开始传输音频，攻击者可以借此监视被呼叫者的周围环境。”   在某些方面，该漏洞与去年Apple的FaceTime群聊功能中报告的侵犯隐私的漏洞相似，该漏洞使用户可以通过添加自己的号码作为第三方来发起FaceTime视频通话，甚至在对方接受来电之前就可以窃听目标通话。 这个漏洞非常严重，以至于苹果在解决了该问题之前就完全中断了FaceTime群组聊天。 但与FaceTime错误不同，利用此漏洞并不是那么容易。呼叫者必须已经具有呼叫特定人员的权限，换句话说，呼叫者和被呼叫者必须是Facebook朋友才能实现。 更重要的是，攻击者必须使用诸如Frida之类的逆向工程工具来操纵自己的Messenger应用程序，以迫使其发送自定义的“SdpUpdate”消息。 Silvanovich因为报告了这个问题而获得了6万美元的奖金，这是Facebook迄今为止最高的三个bug奖金之一，这位谷歌研究员表示，她将这笔奖金捐给一个名为GiveWell的非盈利组织。 这不是Silvanovich第一次发现通讯应用程序中的严重漏洞，他之前在WhatApp、iMessage、WeChat、Signal和Reliance JioChat中也发现了一些问题，其中包括“无需用户交互，被叫方设备就会发送音频”的问题。       消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

iOS系统的 “Checkra1n”越狱工具背后的团队声称已经用它成功越狱了苹果的HomePod，不过目前还不清楚这对智能音箱的黑客潜力意味着什么。该消息是由Twitter用户L1ngL1ng宣布的，他分享了一张macOS终端窗口的截图，似乎显示了通过SSH连接实现对HomePod的命令行root访问。 命令行上的信息表明，相关设备是2018年的原始HomePod型号（标识符为AudioAccessory 1,1），而不是苹果新的HomePod mini（AudioAccessory 5,1）。原版HomePod运行在苹果设计的A8芯片上，这也是iPhone 6首次推出时使用的芯片。 这确实是一个新奇的发展，但越狱HomePod的实际效用在很大程度上是未知的，尽管这并没有阻止r/jailbreak Subreddit上的评论者对可能性的猜测。 到目前为止，能够有机会实现的想法包括打开扬声器的蓝牙连接锁定, 改变Siri为竞争对手的虚拟助手, 显示自定义颜色的顶部屏幕, 并启用支持更多的第三方流媒体服务. 之前已经被证明能够入侵苹果的T2安全芯片的Checkm8 bootrom漏洞可能在这次越狱实践中实现了规避磁盘加密、固件密码和整个T2安全验证链.         （消息来源：cnBeta；封面来源于网络）

在网络黑市上，有些黑客真的是什么都能搞到，什么资料都敢卖，现在有2400多名艾滋病患者的资料被盗，网上打包只要5100多块就能买下。据俄罗斯媒体报道，有黑客在网上叫卖艾滋病患者的数据信息，据他所说这些资料是从俄罗斯诺夫哥罗德市艾滋病预防和控制中心获得的，总计有2400多人。 被盗取的信息非常丰富，有患者的姓名、出生日期、护照信息、电话、工作地址、登记及实际住址，还有详细的医疗信息。 为了证明自己所售资料的真实性，这个黑客还在网上公布了三个患者的医疗信息在网站上的截图。 这个包含2400多人医疗信息的资料价格倒不算很高，打包只要6万卢布，约合5100多元，100人的信息则要3000卢布，不到260块。 不知道有哪些人会对这些艾滋病患者的信息感兴趣，不过很大可能这是逼迫被盗机构来赎回这些信息，毕竟当地疾控中心显然不愿意看到这些信息扩散。 盗窃患者的医疗信息出售，这个黑客的行为怎么看都有点缺德，不过这也不是他第一次这么干了，本月初他还从当地肺病医学中心盗取了肺结核患者的医疗信息。         （消息及封面来源：cnBeta）

在几天前发布适用于 Version 1809 的修复之后，今天微软再次发布了适用于 Windows 10 Version 2009/2004/1909/1903/1607 的安全更新，重点修复了 Kerberos 认证系统中存在的高危漏洞（编号 CVE-2020-17049）。 在更新日志中写道 修复了 CVE-2020-17049 漏洞，修复了 PerformTicketSignature 注册表子项值相关的 Kerberos 身份验证问题，该漏洞修复已经包含在11月10日发布的累积更新中。 当 PerformTicketSignature 设置为1（默认值）时，对于非Windows Kerberos客户端，Kerberos服务票证和票证授予票证（TGT）可能不会续订。 当PerformTicketSignature设置为0时，所有客户端的用户服务（S4U）方案（例如计划任务，群集和业务线应用程序服务）可能会失败。 如果不一致地更新中间域中的DC并将PerformTicketSignature设置为1，则在跨域方案中的票证引用期间S4UProxy委派失败。 下载地址 KB4594440  20H2 / 2004 Update Catalog KB4594443 1909 / 1903 Update Catalog KB4594441 1607  Update Catalog         （消息及封面来源：cnBeta）

在本周发布的 Firefox 83 稳定版更新中，Mozilla 为其引入了仅 HTTPS 模式。在选项描述中写道：“HTTPS 可在 Firefox 和您访问的网站之间提供安全、加密的连接。现今，大多数网站都支持 HTTPS，若选择启用 HTTPS-Only 模式，Firefox 将会升级所有连接为 HTTPS”。 虽然不是默认启用但用户可以在设置应用中启用。这个安全增强功能可以确保你访问的都是 HTTPS 网站。如果在该模式启用之后你访问 HTTP 网站，那么就会自动升级为 HTTPS 网站。如果你访问的站点并不支持 HTTPS，那么就会显示“Secure Connection Not Available”错误信息。 在启用该模式之后，能够让你所有的连接都是加密且安全的。因此，你放心，没有人可以窥探你的网页内容，或者侵入你网站的连接来窃取密码，信用卡信息或其他个人信息。当你使用公共 WiFi 这种无法确定互联网连接完整性的连接时，这一点非常有用。       （消息来源：cnBeta；封面来自网络）

实时自动化（RTA）499ES EtherNet/IP（ENIP）堆栈中存在一个严重漏洞，该漏洞可能会使工业控制系统受到远程攻击。 RTA的ENIP堆栈是广泛使用的工业自动化设备之一，被誉为“北美工厂I/O应用的标准”。 美国网络安全与基础设施局（CISA）在一份咨询报告中表示：“成功利用此漏洞可能造成拒绝服务，缓冲区溢出可能允许远程代码执行。” 到目前为止，尚未发现针对此漏洞的已知公开攻击。然而，“根据互联网连接设备的公共搜索引擎，目前有超过8000台与ENIP兼容的互联网设备。” 该漏洞编号为CVE-2020-25159，CVSS评分为9.8（满分10分），影响2.28之前版本的EtherNet/IP Adapter Source Code Stack。 安全公司Claroty的研究员Sharon Brizinov上个月向CISA披露了这个堆栈溢出漏洞。 RTA似乎早在2012年就从软件中删除了可攻击代码，但许多供应商可能在2012年更新之前就购买了该堆栈的易受攻击版本，并将其集成到自己的固件，从而使多台设备处于危险之中。 研究人员表示：“在六家供应商的产品中，有11种设备运行了RTA的ENIP堆栈。” 该漏洞本身涉及对通用工业协议（CIP）中使用的路径解析机制的不正确检查（CIP是一种用于组织和共享工业设备中的数据的通信协议），使得攻击者能够打开具有较大连接路径大小（大于32）的CIP请求，并导致解析器写入内存地址超出固定长度缓冲区，从而可能会导致任意代码执行。 RTA在披露中表示：“RTA设备中的旧代码试图通过限制EtherNet / IP转发打开请求中使用的特定缓冲区的大小来减少RAM的使用。” “通过限制RAM，攻击者有可能试图使缓冲区溢出，并利用它来控制设备。” Claroty的研究人员扫描了290个与ENIP兼容模块，其中来自6个不同供应商的11个设备被发现使用了RTA的ENIP堆栈。 Brizinov在分析中指出：“与先前的披露类似（例如Ripple20或Urgent / 11），这是另一个易受攻击的第三方核心库使工业控制系统供应商的产品面临风险的案例。” 我们建议用户更新到ENIP堆栈的当前版本，以减轻该漏洞带来的影响。CISA还建议用户最大程度地减少所有控制系统设备的网络暴露，确保不能从网络访问这些设备。 CISA表示： “将控制系统网络和远程设备放在防火墙后面，并将它们与业务网络隔离开。当需要远程访问时，使用安全方法，例如虚拟专用网（VPN）。但是VPN可能存在漏洞，应将其更新为可用的最新版本。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Ranzy勒索软件出现在今年9月/10月，似乎是ThunderX和Ako勒索软件的变体。Ranzy有一些关键的更新，包括加密的调整，过滤的方法，以及使用公开的“leak blog”为那些不遵守赎金要求的人发布受害者数据。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1403/         消息来源：SentinelLABS，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

经过两年漫长时间，现在全球每一个Android用户，都可以使用取代短信的下一代短信标准。谷歌通过其Android Messages应用直接向任何安装它并将其作为默认短信应用的人提供RCS聊天服务，而无需移动运营商参与。同样重要的是，谷歌宣布终于开始启用一项关键的隐私功能：端到端加密，这意味着运营商和谷歌都无法读取这些信息的内容。 尽管加密功能只是开始向注册Android Messages公测版的用户推出，但为RCS开启加密功能是一件非常重要的事情。这是一个巨大的隐私胜利，因为这意味着在全球绝大多数人使用的智能手机平台上，短信的事实上的替代者默认情况下将是私密的。至于iPhone，我们还没有听说苹果是否打算采用RCS标准。 自从最初宣布计划过渡到RCS作为安卓系统的主要短信平台后，该标准的推广就陷入了混乱之中。去年，谷歌开始自己动手，慢慢地让不同国家的用户直接从谷歌那里获得RCS服务，而不是等待运营商开启。今天，该公司宣布这一进程已经完成，在谷歌提供服务的所有地方，都可以通过Android Messages获得RCS服务。在某些地区和某些运营商，如果他们选择，谷歌将继续允许这些运营商运行你的RCS服务。 如前所述，谷歌将在本月推出测试版，而谷歌并没有加密聊天何时能毕业进入主应用的时间表。而对于愿意注册Android Messages公测版的人来说，要知道，和往常一样，谷歌将逐步推出该功能，所以你可能不会马上得到这项加密功能。只有当双方用户都在使用Android Messages并已收到更新时，端到端加密才会在一对一的聊天中发挥作用。在群组聊天中启用端到端加密是一个更棘手的问题，所以谷歌不会承诺扩展该功能的时间表。         （消息来源：cnBeta；封面来自网络）

英国政府透露，一支由间谍、网络专家和军方成员组成的新进攻部队已经在进行网络行动，以破坏敌对国家活动、恐怖分子和犯罪分子。这个新的组织被称为国家网络部队（National Cyber Force ）–旨在应对对英国国家安全的威胁，如打击恐怖阴谋，以及针对英国的军事行动等。 英国首相鲍里斯·约翰逊告诉议会，这个新组织已经成立并开始运作。他说：“我可以宣布，我们已经成立了一支国家网络部队，结合我们的情报机构和服务人员，它已经在网络空间开展行动，打击恐怖主义，有组织犯罪和敌对国家活动。” 国家网络部队汇集了来自情报机构GCHQ、国防部、国防科技实验室和秘密情报局–军情六处的专家，他们将提供其“招募和运行特工的专业知识，同时提供秘密行动技术的独特能力”。 GCHQ表示，网络行动的例子可能包括干扰手机，以防止恐怖分子能够与他们的联系人沟通，帮助防止互联网被用作严重犯罪的平台，或者保持英国军用飞机的安全，以免被敌对武器系统瞄准。 GCHQ主任杰里米-弗莱明说，国家网络部队 “汇集了情报和防御能力，以改变英国在网络空间与对手竞争的能力，保护国家、民众和我们的生活方式。” GCHQ表示，这支新部队建立在英国目前的国家进攻性网络计划基础上，包括GCHQ与军方合作开展网络行动。国家网络部队其实今年已经被政府提过几次了，早在2018年就有报道称，新部队将有2000人，预算将达到2.5亿英镑。 英国至少已经有过一些使用网络攻击或 “进攻性网络行动”的情况：2016年，政府表示对Daesh进行了网络行动；2018年，英国还被曝出对ISIS宣传网络使用了网络攻击。英国还曾向北约提供网络能力。 英国首相表示，关于国家网络部队的消息是更广泛的国防审查公告的一部分，旨在增加武装部队对技术的使用，创建一个“单一网络”来战胜敌人。 “在敌对领土上的士兵将通过卫星或无人机上的传感器对远处的埋伏发出警报，即时发出警告，利用人工智能设计最佳反应，并提供一系列选择，从召唤空中打击到命令群攻，由无人机或用网络武器麻痹敌人，”约翰逊说。 不过，如此强调网络行动并非没有批评者。由于对于什么是对网络攻击的适当反应并没有明确的规则，有人担心，由于不同的国家可能会按照不同的规则进行游戏，增加使用进攻性网络战能力可能会导致冲突时期的快速和难以控制的升级。 而有些人认为，宣传网络能力可以对潜在的攻击者起到威慑作用，但并不是所有的人都相信。直到最近NCSC的负责人Ciaran Martin在最近的一次演讲中说。“在我所有的行动经验中，我完全没有看到任何迹象表明，西方网络能力的存在，或我们使用它们的意愿，会阻止攻击者。” “我们有可能接受获取和使用更高端的网络能力是一个优先事项，而不测试这对我们自己的数字环境意味着什么的问题。我们还没有进行这种根本性的辩论，因为国家安全界和技术界并没有真正地相互交流，”他说。       （消息来源：cnBeta；封面来自网络）