据外媒报道，过去十年，美国边境检查人员一直未能有效加密地验明入境人员的护照信息，原因是政府没有合适的软件。在写给美国海关与边防局（CBP）代理司长 Kevin K. McAleenan 的信中，参议员 Ron Wyden 和 Claire McCaskill 要求其就此事作出答复。电子护照的芯片中嵌入了包含机器可读文本和加密信息，可以轻松验证护照的真实性和完整性。 自 2007 年引进以来，所有新发放的护照都是电子护照。在免签名单上的 38 个国家的公民，也都必须持有电子护照，才被允许进入美国。 加密信息使得一本护照几乎不可能被伪造，此外也有助于防止身份盗窃。然而参议员在本周四的这封信中指出，边防人员“缺乏验证电子护照芯片的技术能力”： 即便他们已经在大部分入境口岸部署了电子护照阅读器，CBP 依然没有必要的软件，来验证电子护照芯片上存储的信息。 特别是 CBP 无法验证存储在电子护照上的数字签名，这意味着 CBP 无法判断智能芯片上储存的数据是否被篡改或伪造。 令人震惊的是，早在 2010 年的时候，海关和边防部门就已经意识到了这个安全漏洞。 当年，政府问责办公室在一份报告（PDF）中首次点名批评了 CBP 的上级（国土安全部），指责其“在信赖数据之前，还没有实现验证数字签名所必须的全部功能”。 换言之，在国土安全部门堵住疏漏之前，边防人员只得继续依赖缺乏合理保证的系统，被电子护照芯片上可能被伪造的计算机数据给欺骗。 那么，8 年过去了，CBP 是否已经亡羊补牢了呢？遗憾的是，该机构仍不具备在电子护照上验证机器可读数据的技术能力！ 新闻炸锅之后，约翰霍普金斯大学密码学讲师 Matthew Green 在一条推文中写到： 如果你持有一本来自免签国家的护照，那么边防人员只会从电子芯片上读取你的照片和旅行信息，而这些数据的可信度是无法保证的。 马修·格林继续评论道： 令人谛笑皆非的是，尽管这种电子护照是美国在经历了 9/11 恐袭后强行向全球推出的，我们却一直未能正确地使用它。 参议员们希望，有关部门可以在明年年初之前，提出一项对电子护照进行适当的身份验证的计划。不过截止发稿时，CBP 的发言人并没有回应媒体的置评请求。 稿源：cnBeta，原文编译自：ZDNet , 来源：Wyden-Security-Letter（PDF）

早在 1 月份，Google Project Zero 研究员 Tavis Ormandy 就透露了 BitTorrent 应用程序传输中的一个漏洞，并解释其他客户端也可能存在类似的问题。在本周的一份新报告中，Ormandy 在 uTorrent 中发现了类似的安全漏洞，这是目前最受欢迎的 BitTorrent 客户端之一。 这个问题在 11 月份向 BitTorrent 报告，但就像安全研究人员预测的那样，母公司未能在 90 天窗口中发布补丁，因此本周安全人员将漏洞细节公布在互联网上。 该漏洞存在于 Web 界面中，允许用户远程控制 BitTorrent 客户端，如果被利用，它可能使攻击者能够控制易受攻击的计算机。然而，软件的开发者表示，它已经准备好了一个补丁程序，该补丁程序是最新 beta 版本的一部分，根据 TorrentFreak 的一份报告，它预计将在本周尽快推向稳定渠道。 但事实证明，与 Ormandy 共享的修补程序只覆盖原始漏洞，而不能完全解决漏洞。看起来像 BitTorrent 只是给 uTorrent Web 添加了第二个令牌。这并没有解决 DNS 重新绑定问题。目前，BitTorrent 尚未提供更新的声明，以分享计划发布新补丁程序的方式和时间。 稿源：cnBeta，封面源自网络；

英特尔已经开发稳定的新微代码，它可以修复 Skylake、 Kaby Lake、Coffee Lake 处理器存在的 “ 幽灵 ”（ Spectre ）漏洞，而且所有变种漏洞都能修复。微代码更新可以化解 “ 幽灵 2 号变种 ”（Spectre Variant 2）带来的威胁。所谓“ 幽灵 2 号变种 ” 威胁，就是攻击者能够命令处理器分支预测器对执行什么代码给出一个糟糕的预测。然后处理器会用糟糕的预测来推断数据的数值，这些数值存储在内存中，这样一来攻击者就能窃取信息。 通过对微代码更新，可以让操作系统对分支预测器进行更好的控制，防止一个进程受到另一个进程的影响。 去年英特尔曾经发布第一个微代码更新，甚至还对安装 Broadwell、Haswell、Skylake、Kaby Lake 和 Coffee Lake 的机器进行固件升级，不过用户随后发现，更新会导致系统崩溃重启。最开始时，确认受到影响的只有 Broadwell 和 Haswell 系统，后来发现 Skylake、Kaby Lake 和 Coffee Lake 也会导致重启。 月初时，英特尔还提供了针对 Skylake 处理器的新微代码，它适用于 Skylake 变种处理器，包括 Skylake X、Skylake D、Skylake SP，以及 Skylake 之后的主流芯片，这些芯片以 7 代或者 8 代 Core 的身份推出，代号为 Kaby Lake 或者 Coffee Lake。不过较老的 Broadwell 和  Haswell 处理器无法修复，英特尔说面向 Sandy Bridge、Ivy Bridge、Broadwell 和 Broadwell 处理器的微代码正在测试。 稿源：cnBeta、，稿件以及封面源自网络；

随着医疗植入物的技术越来越复杂，研究人员警告说，他们可能成为网络安全入侵的主要目标。在《美国心脏病学会杂志》上发表的一篇新论文集中讨论了起搏器等医疗植入物被黑客攻击的潜在风险。这项研究带来了一些好消息，但也敦促在未来的医疗设备的设计谨慎。 目前，绝大多数医疗植入物的远程连接有限，无法被黑客窃取或更改。然而，一些较新的植入物具有远程监视功能，可以让医生在不需要病人不需要复诊的情况下密切关注病人的健康状况。 堪萨斯大学医院的医学博士兼该论文的作者 Dhanunjaya R. Lakkireddy 表示：“真正的网络安全始于从一开始就设计受保护的软件，并且需要包括软件专家、安全专家和医疗顾问在内的多个利益相关者的整合。”医生对于前瞻性安全功能的紧迫性在医学界以及患者本身中都有许多共同之处。 潜在可破解的医疗植入物的风险是巨大的。可以远程调整设置的医疗设备显然是最严重的目标，但即使只是传递信息的植入物也有可能会耗尽电池的漏洞，使患者易受伤害。然而，虽然理论上的危险很多，但医生们仍然没有看到在现实世界中出现的任何普遍问题。 Lakkireddy 指出：“单个黑客成功入侵心血管植入式电子设备或能够锁定特定患者的可能性非常低。 更可能的情况是恶意软件或勒索软件攻击影响医院网络并阻止通信。” 这篇论文敦促研究人员和医疗专业人员在设计和实施可远程访问的医疗系统时表现出极其谨慎的态度。危险可能并不严重，但随着越来越多的医疗植入物采用无线诊断和跟踪功能，它们几乎肯定会成为更大的目标。 稿源：cnBeta，封面源自网络

去年年底爆发的 Meltdown（熔断）和 Spectre（幽灵）两大 CPU 漏洞仍在持续发酵，作为受影响最严重的处理器厂商英特尔无疑时刻处于风口浪尖上。公司在积极联合 Google、Canonical、微软、苹果等公司部署修复补丁的同时，还面临用户的诉讼赔偿。根据英特尔公司近期提交给美国证券交易委员会的文件披露，目前公司正面临 32 起集体诉讼。 这 32 起诉讼包括 30 起集体诉讼以及 2 起证券集体诉讼。集体诉讼人通常认为英特尔披露的漏洞知识存在误导，而且相关的补救措施对性能产生了负面影响。 英特尔在文档中写到：“证券集体诉讼原告主要代表在 2017 年 7 月 27 日至 2018 年 1 月 4 日期间购入英特尔股票的用户”，并称英特尔和某些官员违反证券法，违规发布了关于英特尔产品和内部控制的说明，让投资者认为这些安全漏洞是虚假或者存在误导性的。 不过英特尔方面对所有主张提出了异议，并打算积极的参与诉讼。不过公司也表示目前并没有评估这些集体诉讼对公司的财务影响。此外，有三名股东声称英特尔的一些董事和官员存在内幕交易，但是英特尔目前并没有置评。 稿源：cnBeta，封面源自网络

外媒 2 月 10 日消息，根据联想发布的安全建议，Broadcom 芯片组中的两个关键漏洞至少影响了 25 款 ThinkPad 设备。远程攻击者可以利用这些漏洞在目标系统的适配器（而不是系统的 CPU）上执行任意代码。目前联想表示已在其产品中修复了这些漏洞，并敦促用户及时更新。 CVE-2017-11120：内存破坏漏洞 攻击者可利用该漏洞在目标设备上执行代码并建立后门程序。 联想警告称， 24 款 ThinkPad 机型存在该种缺陷，这些机型都有一个共同特点：它们都使用了 Broadcom 的 BCM4356 无线局域网驱动程序。 CVE-2017-11121：缓冲区溢出漏洞 该漏洞是由于对 Wi-Fi 信号进行不正确的验证而导致的。据研究专家介绍，精心制作的恶意无线快速转换帧可能会触发内部 Wi-Fi 固件堆栈和者堆栈溢出，从而导致出现拒绝服务等情况。目前联想已修复该漏洞，并敦促用户为其 ThinkPad 更新 Wi-Fi 驱动程序。 有关专家认为联想 ThinkPad 设备的这两个漏洞是非常关键的，因此将其评定为 CVSS 10 分。 受影响的型号有 ThinkPad 10、ThinkPad L460、ThinkPad P50s、ThinkPad T460、ThinkPad T460p、ThinkPad T460s、ThinkPad T560、ThinkPad X260 和 ThinkPad Yoga 260。 漏洞相关报告： CVE-2017-11120 细节 CVE-2017-11121 细节 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Adobe Flash 曾经是互联网的功臣，但不适应时代发展的它正在被放弃，只不过安全问题依然很严重，无论 Adobe 还是微软都不得不随时为它更新维护。今天，微软发布了一个编号 KB4074595 的新补丁，专门用于修复 Adobe Flash Player 中的最新 0-day 零日漏洞。 该漏洞存在于 Adobe Flash Player 28.0.0.161 之前的版本中，能让攻击者通过网络或邮件传播包含恶意Flash内容的Office文档，获得系统控制权、执行任意代码。 操作系统方面，除了 Windows 7 之外所有版本都受影响。 据韩国计算机紧急响应团队披露，这个漏洞至少从 2017 年 11 月中旬就被发现了，而且韩国已有人利用此漏洞发起攻击，主要针对与韩国与朝鲜合作的研究部门。 Adobe 也确认已经知晓此漏洞攻击，并建议用户立即升级最新版本 Flash Player 或者更新补丁。 稿源：cnBeta、快科技，封面源自网络

外媒 2 月 7 日消息，独立安全研究员 Paulos Yibelo 上个月发现，一款名为 Hotspot Shield （热点盾）的 VPN 产品存在一个严重的安全漏洞，可能会泄露用户的敏感信息（如 Wi-Fi 网络名称 、真实 IP 地址等）。据 Yibelo 称，该漏洞允许未经身份验证的请求访问本地 Web 服务器托管的 JSONP 端点，从而获取有关 Hotspot Shield 服务的敏感信息（其中包括其配置详细信息）。 Hotspot Shield 由 AnchorFree 公司开发，是一项在 Google Play Store 和 Apple Mac App Store 上免费提供的 VPN 服务，在全球拥有超过 5 亿的用户量。Hotspot Shield 一直主打保护用户所有的在线活动，承诺隐藏用户的 IP 地址和身份，并使用加密通道传输互联网和浏览流量来保护用户免于跟踪。 Paulos Yibelo 声称他已向 AnchorFree 报告了该漏洞（被指定为 CVE-2018-6460）， 并且还发布了一个概念验证代码（PoC）来证实该漏洞的可利用性。 尽管 Yibelo 声称该 PoC 能够获得 Hotspot Shield 用户的真实 IP 地址，不过 AnchorFree 的发言人针对该言论进行了否认。 AnchorFree 表示虽然该漏洞的确存在，但不会泄露任何用户的真实  IP 地址或者个人信息。值得注意的是，AnchorFree 发表的声明中提到了该漏洞可能会暴露一些通用信息（如用户所在的国家）。 除了泄露信息之外，Yibelo 认为攻击者还可以利用此漏洞实现远程代码执行，不过目前并无确实证据。 消息来源：Thehackernews，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

前情提要：思科（ Cisco ）于 1 月 29 日发布了一个补丁程序，旨在修复影响 ASA （ 自适应安全设备 ）的一个严重漏洞 （CVE-2018-0101）。根据思科发布的安全公告显示，该漏洞驻留在设备的 SSL VPN 功能中（解决远程用户访问敏感数据最简单最安全的解决技术），可能会允许未经身份验证的攻击者在受影响的设备上远程执行代码。 据外媒 2 月 8 日消息，在思科发布了补丁后，其研究人员发现该漏洞还会引起拒绝服务的情况出现，可能会对 ASA 平台造成一定影响。为此，思科于近期再次发布了一个安全更新。 虽然目前并未发现有任何与该漏洞有关的恶意行为，但思科在其安全公告中指出，为了成功利用该漏洞，攻击者必须将特制的XML文件发送到易受攻击的接口，因此对于客户来说，升级到固定的软件版本是非常重要的。  目前该漏洞影响了思科近十几种产品，如以下列表： — 3000 系列工业安全设备（ ISA ） — ASA 5500 系列自适应安全设备 — ASA 5500-X 系列下一代防火墙 — 适用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的 ASA 服务模块 — ASA 1000V 云防火墙 — 自适应安全虚拟设备（ASAv） — Firepower 2100 系列安全设备 — Firepower 4110 安全设备 — Firepower 9300 ASA 安全模块 — Firepower 威胁防御软件（ FTD ） 相关阅读： 思科被曝 VPN 高危漏洞，工业安全设备、防火墙等多款产品受影响 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

去年，黑客组织 Shadow Brokers 公布了美国国家安全局 NSA 的内部黑客工具和漏洞利用代码，包括三大工具 EternalChampion、EternalRomance 和 EternalSynergy，近日一位安全研究人员 Sean Dillon（RiskSense）  改良了这三大黑客工具的源代码，使其适用于 Windows 2000 之后 20 年间的所有微软操作系统，包括 32 位和 64 位版本。 Sean Dillon 网名为 @zerosum0x0 在推特上演示了改良后的代码在一个开源渗透测试框架 Metasploit Framework 的测试结果。测试结果显示，改良后的代码利用了 CVE-2017-0143 和 CVE-2017-0146 漏洞，在渗透框架中巨量未打补丁的 Windows 系统版本均可以被漏洞影响。zerosum0x0 还表示将尽快在 GitHub 上释出可执行的代码 稿源：cnBeta，封面源自网络