外媒 1 月 24 日报道，流行软件构建框架 Electron 中存在一个严重的远程代码执行（ RCE ）漏洞（CVE-2018-1000006），可能会影响大量热门桌面应用程序，比如 Skype，Signal，Slack，GitHub Desktop，Twitch 和 WordPress.com 等。 Electron  表示目前只有 Windows 的应用程序会受到漏洞影响。 Electron 由 GitHub 团队开发，是一个基于 Node.js 和 Chromium 引擎的开源框架，允许应用程序开发人员使用 JavaScript、HTML 和 CSS 等 Web 技术为 Windows，MacOS 和 Linux 等构建跨平台的本地桌面应用程序。目前至少有 460 个跨平台桌面应用程序使用了 Electron 框架。 本周一，Electron 团队称其已在 Electron 框架中修补了该远程代码执行漏洞，并表示该漏洞只影响 Windows 应用程序， Mac 和 Linux 的应用不在影响范围内 。 据 Electron 团队介绍， 该远程代码执行漏洞影响使用自定义协议处理程序的电子应用程序。若这些基于 Electron 的应用程序将自身注册为处理自定义协议框架（如 myapp ：//），并且无论协议是怎么注册的，都很可能会受到漏洞影响。（ 例如使用本地代码、Windows注册表、Electron 框架的app.setAsDefaultProtocolClient API 等方式注册） 目前 Electron 开发者已经发布了两个新的框架版本来解决这个严重的漏洞，即 1.8.2-beta.4,1.7.11 和 1.6.16。如果由于某种原因导致无法升级 Electron 版本，那么可在调用 app.setAsDefaultProtocolClient 时将其作为最后一个参数追加，因为这样一来，可以有效防止 Chromium 解析更多的选项。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

 1 月 23 日，Intel 在官网发布声明，称已经找到了 Broadwell 和 Haswell 平台在修复 Spectre 安全漏洞中出现重启问题的根本原因，新的测试版正在客户处测试。与此同时，他们叫停了老版本补丁的部署工作，也就是不要安装 BIOS 更新。 对此，戴尔（ Dell EMC ）已经火速响应，最新的知识库文档建议尚未进行 BIOS 更新的立即暂停，已经更新 BIOS 的应该尝试回退到旧版。 戴尔将问题原因归咎于 Intel 提供的固件，因为它导致了系统重启和死机。 目前，戴尔已经从官方渠道移除了所有受影响的 BIOS，会和 Intel 方面紧密合作，尽快拿出新版。 据悉，在 Spectre 漏洞的 Variant 2 攻击（ Branch Target Injection 分支目标注入，识别码 CVE-2017-5715 ）中，需要 CPU 更新微代码，也就是通过 BIOS 更新才能完全堵漏。 虽然，Intel 早就表示他们在上周末就为 90% 近五年的 CPU 产品提供了解决方案，现在看来，可能还需要一段时间补救了。 据悉，此次戴尔提及的是 EMC 企业级服务器、存储和网络设备等 “ 大件 ”，至于消费级其实同理可推，大伙儿还是静待一段时间吧。 稿源：cnBeta、快科技，封面源自网络；

外媒 1 月 23 日消息，安全研究人员近期公布了 2017 年 WordPress 插件和主题漏洞的统计数据，这些数据来源于 ThreatPress 最新的 WordPress 漏洞数据库。据悉，目前 ThreatPress 正在监视大量的数据源，以便实时向数据库中添加新的漏洞。 2017 年整体统计数据 2017 年 ThreatPress 在其数据库中添加了 221 个漏洞，总数较之前减少了 69 ％。数据显示， 跨站脚本（XSS）与 2016 年一样，仍然位列榜首。研究人员猜测是因为许多开发人员不重视转义数据输出，才导致了越来越多的 WordPress 插件和主题受到跨站点脚本（XSS）漏洞的攻击。此外， SQL 注入漏洞在 2017 年也大幅上升。 令人惊讶的是，目前有许多网站受到 WordPress 插件中的漏洞威胁，据初步统计，安装插件的网站总数已达 17,101,300 + ，其中： ○ 易受攻击的插件 – 202 ○ 易受攻击的主题 – 5 ○ 受 WordPress.org 存储库漏洞影响的插件 – 153 ○ 受漏洞影响的 非 WordPress.org 存储库插件 – 24 WordPress 的三大漏洞 ○ 跨站点脚本（ XSS ） ○ SQL 注入（ SQLi ） ○ 损坏的访问控制 按漏洞类型分类的插件 TOP 5 统计 ○ XSS（跨站脚本） – 71 ○ SQL注入 – 40 ○ 不受限制的访问 – 20 ○ 跨站请求伪造（CSRF） – 12 ○ 多重攻击（Multi） – 10 在 2017 年受到漏洞影响的最受欢迎的 5 个插件 ○ Yoast SEO（最流行的 SEO 插件） – 5,000,000  –>  受 XSS（跨站脚本）影响 ○ WooCommerce（最流行的电子商务插件） – 3,000,000  –>  受 XSS（跨站脚本）影响 ○ Smush 图像压缩和优化 – 1,000,000  –> 受 目录遍历 影响 ○ Duplicator – 1,000,000   –>  受 XSS（跨站脚本）影响 ○ Loginizer – 600,000  –> 受 SQL 注入影响 滞后的安全更新 ○ WordPress 在 2017 年发布了 8 个安全更新。 ○ 安全漏洞数据库中的漏洞总数为 3321 。 ○ 第一个漏洞发现于 2005-02-20 。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 23 日消息，谷歌黑客  Tavis Ormandy 于近期发现暴雪游戏中存在一个严重漏洞，导致数百万台电脑遭到 DNS Rebinding （DNS 重绑定）攻击，从而允许攻击者在游戏玩家的电脑上远程执行恶意代码。目前，暴雪公司在其客户端版本 5996 中加入了部分缓解措施，并表示后续推出的补丁会采取更多稳定的主机白名单机制。 “ 魔兽世界 ”、“ 守望先锋 ”、“ 暗黑破坏神3 ”、“ 炉石传说 ” 和 “ 星际争霸 2 ” 等都是由暴雪娱乐公司制作的流行网络游戏。根据统计数据显示，暴雪公司每月的在线玩家数量达到 5 亿人次。 漏洞信息 若玩家要用浏览器在线玩暴雪游戏，需在自己电脑系统中安装一个名为 “ Blizzard Update Agent ”的客户端程序，然后该应用程序会在 1120 端口上通过 HTTP 协议运行 JSON-RPC 服务器，以便执行 “ 命令安装、卸载、设置更改、更新和其他维护相关的选项 ” 等操作。 Ormandy 发现 Blizzard Update Agent 程序极易受到 DNS Rebinding 攻击。 因为 DNS Rebinding 允许任何网站充当外部服务器和本地主机之间的桥梁，这意味着任意网站都可以向 Blizzard Update Agent 程序发送特权命令。 Ormandy 最初于去年 12 月向暴雪公司报告了该漏洞，不过在几次沟通之后，暴雪公司停止了对 Ormandy 的邮件回应，并秘密地在客户端版本 5996 中加入了部分缓解措施。暴雪公司的解决方案似乎是查询客户端命令行，获取 exename 的 32 位 FNV-1a 哈希值，然后检查它是否在黑名单中。然而， Ormandy 建议暴雪公司将其主机名列入白名单。 在 Ormandy 披露了该漏洞之后，暴雪公司声称相关补丁正在研发部署之中，并承诺会采取更多稳定的主机白名单机制来修复该漏洞。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 23 日消息，安全专家发现超过 3.3 万 个希捷 GoFlex 家庭网络存储 ( NAS ) 设备容易暴露于公网，或引来跨站脚本（XSS）和中间人（MitM）攻击。虽然目前希捷已经修补了 Personal Cloud 和 GoFlex 产品中的 XSS 漏洞，但不幸的是，仍有一些问题尚未解决。 安全专家 Sood 介绍，GoFlex 家庭 NAS 设备在 seagateshare.com 上运行了一个可访问的 Web 服务，允许用户远程管理设备及其内容，并且可以通过设备名称和登录凭证来访问存储。而 GoFlex 固件则运行着一个 HTTP 服务器，要求用户在路由器上启用端口转发，以便连接到 web 服务。 跨站脚本（XSS）和中间人（MitM）攻击 安全专家 Sood 注意到虽然 HTTP 服务器支持过时的协议 SSLv2 和 SSLv3，  而 Web 服务 seagateshare.com 支持 SSLv3。 不过这两种协议都能将用户暴露给 MiTM 攻击（包括  DROWN  和  POODLE 攻击）。 此外，Sood 还在 seagateshare.com 网站上发现了一个 XSS，攻击者可以利用该 XSS 在用户的浏览会话中执行恶意代码，欺骗受害者点击特制链接。 目前希捷只修复了 XSS 漏洞，似乎并没有计划修复与 SSLv2 和 SSLv3 相关的一些问题。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

本周一，英特尔公司要求电脑生产商们停止使用英特尔为解决其芯片存在的安全隐患而发布的一系列有缺陷的补丁，英特尔表示正在研发新的补丁以解决自身芯片的安全问题。英特尔发表声明，要求电脑生产商和数据中心管理者停止使用目前其为 Meltdown 和 Spectre 安全漏洞提供的安全补丁，这两个安全漏洞据称将能使黑客从装有英特尔处理器的电脑中偷取用户敏感数据。 该补丁是英特尔花费数月研制出来的，但可能导致电脑比平常时发生更频繁的重启。 现在，英特尔要求消费者们测试其最新版本的补丁，已于上周末发布。英特尔表示其已经找到了导致老款处理器重启问题的根本原因。英特尔数据中心业务高管孙纳颐（Navin Shenoy）在一篇发布在该公司网站上的帖子中说道：“我们要求我们的产业合作伙伴们测试最新发布的安全补丁，以最快向普通消费者发布此更新。” 在今年 1 月 3 日，英特尔确认其芯片受 Spectre 和 Meltdown 安全漏洞影响。其中受 Meltdown 漏洞影响的公司除英特尔外还有软银集团旗下的 ARM Holdings。而 Spectre 则影响了所有现代计算设备，也包括了英特尔和 AMD 的芯片。 随着英特尔开始发布针对此安全漏洞的补丁，一系列问题又产生了。在 1 月 11 日，英特尔承认该补丁可能使老款处理器发生更频繁的重启问题。 稿源：cnbeta.com，封面源自网络

根据 Intel 的说法，SNB 平台到 Kaby Lake 的处理器已经有至少 90% 覆盖了 CPU 漏洞补丁，解决方法包括系统更新和主板 BIOS 升级（固件升级）来消除隐患。与此同时，AMD、IBM、甲骨文等也对自己的平台进行了类似的工作跟进。 虽然对于桌面平台和大型服务器等都有着一定程度的性能影响，但整体来看，对用户的实际使用感知不大。 即便如此，用户实际打补丁的积极程度并没有想象中那么高。 外媒报道，Barkly 的调查显示，仅有 4% 的 IT 和安全支持人员表示，他们已经解决 MeltDown 和 Spectre 隐患。 而高达 26% 的系统尚未接受任何补丁，16% 的系统则是完全搞不懂状况。 至于微软要求杀毒厂商高度注意的一个注册表键值（只有确认杀软兼容、不会引起重启后），80% 的人都还不知道。 稿源：cnBeta、快科技，封面源自网络；

经外媒 MacRumors 证实，苹果宣布将于下周发布软件更新来修复 Messages 应用链接的死机 BUG。据悉下周除了 iOS 11.2.5 版本之外，苹果还会推出 macOS High Sierra 10.13.3, watchOS 4.2.2 以及 tvOS 11.2.5，来修复这个恶意链接 BUG。 这条恶意链接 BUG 最早于本周二在 Twitter 上曝光，当 iPhone、iPad、Mac 设备的 Messages 应用接受到包含下面这条链接的信息之后，就会导致设备出现死机，进入无法使用的状态。 软件开发人员阿巴拉海姆·马斯里( Abraham Masri )日前发现了一处漏洞，可导致 iPhone 和 Mac 死机或重启。这处漏洞被称为“ chaiOS ”，被马斯里发布到编程网站 GitHub 上。同时，马斯里还发布了一个被称为“ text bomb ”(文本炸弹)的链接。点击该链接后，可导致 iPhone 和 Mac 死机，有时还会重启。 据悉，通过消息应用程序发送该链接给他人时，就会激活该漏洞，甚至是在接收方并未点击该链接的情况下。对于 Mac 计算机，该漏洞会导致 Safari 浏览器崩溃。 稿源：cnBeta.com，封面源自网络  

外媒 1 月 17 日消息，互联网系统联盟（ISC）于近期发布了针对 BIND 的安全更新，以解决可能导致 DNS 服务器崩溃的高危漏洞（ CVE-2017-3145 ），但目前并没有直接的证据可以表明该漏洞已被野外攻击者利用。 据 ISC 介绍， CVE-2017-3145 漏洞是由于一个 use-after-free （简称 UaF , 是一种内存数据破坏缺陷）的错误导致的： BIND 对上游递归获取上下文的清理操作进行了不恰当的排序，从而在某些情况下出现了 use-after-free  错误，以至于触发断言失败和 DNS 服务器进程崩溃。 该漏洞可能影响到运行 DNSSEC 验证解析器的系统，因此相关专家建议临时禁用 DNSSEC 验证作为解决方案。但根据 ISC 的说法，目前没有证据可以表明 CVE-2017-3145 已经被野外攻击所利用。 这一漏洞在 9.0.0 版本以来就已经存在于 BIND 中，但之前 ISC 发布的 CVE-2017-3137 修补程序版本并没有已知的代码路径可以通向它 。因此，虽然 BIND 的所有实例都应修补，但目前只有9.9.9-P8 ~ 9.9.11，9.10.4 ~ P8 ~ 9.10.6，9.11.0 ~ P5至9.11.2，9.9.9-S10 ~ 9.9.11-S1，9.10.5-S1到9.10.6-S1，以及9.12.0a1 ~ 9.12.0rc1 可以做到修复。 除此之外，ISC 还披露了一个中等严重程度的 DHCP 缺陷，研究人员追踪其为 CVE-2017-3144 漏洞  ： 由于未能正确清理已关闭的 OMAPI 连接而出现的漏洞，可能会导致 DHCP 服务器可用的套接字描述符池耗尽。 攻击者通过 CVE-2017-3144 漏洞，允许与 OMAPI 控制端口建立连接， 从而耗费 DHCP 服务器可用的套接字描述符池。一旦耗尽，服务器将不会接受其他连接，并且拒绝访问来自合法服务器运营商的连接。当服务器继续接收和服务 DHCP 客户端请求时，运营商可能被阻止使用 OMAPI 来控制服务器状态，添加新租约预留等。 虽然 CVE-2017-3144 影响了 4.1.0 至 4.1-ESV- R15， 4.2.0 至4.2.8 以及 4.3.0 至 4.3.6 的版本，但 ISC 表示目前已经开发了在未来的 DHCP 版本中推出的补丁，可以禁止未经授权的客户访问 OMAPI 控制端口。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 17 日消息，FireEye 于近期发现了一种新的攻击手法——利用三个 2017 年披露的 Microsoft Office  漏洞进行恶意软件 Zyklon 的传播活动 。据悉，该活动主要针对电信、保险和金融服务等公司，试图收集其密码和加密货币钱包数据，并为未来可能发生的 DDoS （分布式拒绝服务） 攻击收集目标列表。 功能强大的 Zyklon 恶意软件 Zyklon 是一款 HTTP 僵尸网络恶意软件 ，自 2016  年就开始出现，通过 Tor  匿名网络与其 C＆C （命令和控制）服务器进行通信，从而允许攻击者远程窃取密钥和敏感数据，比如存储在 web 浏览器和电子邮件客户端的密码。此外，根据 FireEye 最近发布的报告，Zyklon 还是一个公开的全功能后门，能够进行键盘记录、密码采集、下载和执行额外的插件，包括秘密使用受感染的系统进行 DDoS 攻击和加密货币挖掘。 而在此次攻击活动中，背后的攻击者利用  Microsoft Office 的三个漏洞通过鱼叉式网络钓鱼电子邮件传播 Zyklon 恶意软件，这些邮件通常会附带一个包含恶意 Office 文档的 ZIP 文件。一旦用户打开这些恶意文件就会立即运行一个 PowerShell 脚本，并从 C＆C 服务器下载最终 playload。这样一来， 用户的计算机设备就会成功受到感染。 以下为恶意软件利用的三个 Microsoft Office 漏洞： 第一个漏洞：CVE-2017-8759 是 Microsoft 去年十月修补 的 .NET 框架漏洞。打开受感染文档的目标将允许攻击者安装恶意程序，处理数据并创建新的特权帐户。 受感染的 DOC 文件包含嵌入的 OLE 对象，该对象在执行时触发从存储的 URL 下载的另外的 DOC 文件。 第二个漏洞：CVE-2017-11882 是在 Microsoft 公式编辑器的 Office 可执行文件中发现的远程代码执行错误，微软已于 2017 年 11 月为其发布了补丁。 该漏洞与以前的漏洞类似，打开特制 DOC 的用户将自动下载包含最终 playload 的 PowerShell 命令的 DOC 文件。 第三个漏洞：在于动态数据交换（ DDE ），但微软不承认该漏洞的存在，而是坚称 DDE 只是一个产品功能，是建立应用程序如何通过共享内存发送消息和共享数据得协议。然而，在过去的一年中，攻击者利用 DDE 在恶意活动取得了巨大的成功，比如在无需启用宏或内存损坏情况下在目标设备上执行代码。 FireEye 表示，目前越来越多的攻击者利用恶意软件来执行不同的任务，并且很可能会超出当前攻击目标的范围，因此对于所有行业来说保持高度警惕性变得尤为重要。 消息来源：threatpost，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。