作为比特币的竞争对手，成立于 2014 年的加密货币以太坊（Ethereum）在全球市场日益升温，总价值超过 280 亿美元。但在全球火爆的背后安全问题也日益突显，今年 7 月以太坊钱包 Parity 被黑客攻击窃取了 15.3 万以太坊（约合 3200 万美元）之后，近期再次被曝存在安全漏洞，导致价值数亿美元的以太坊被冻结。 以太坊钱包 Parity 的幕后公司 Parity Technologies 披露信息称，由于自 7 月 20 日开始部署的多重签名钱包技术出现问题，共用的 library 合约被抹除，导致以太坊钱包 Parity 的多重签名钱包的余额都被冻结，无法移动。目前，已经确认有 930000 个以太坊（价值 2.8 亿美元）被冻结。 今年 7 月 19 日，多重签名钱包 Parity1.5 及以上版本出现安全漏洞，15 万个以太坊 ETH 被盗，共价值 3000 万美元。Parity 表示，此次其旗下的以太坊钱包被盗主要是由一个名为 wallet.so 的多重签名智能合约出现漏洞所导致的。 稿源：cnBeta，封面源自网络；

据外媒 11 月 6 日报道，安全公司 Skyhigh 将管理员对亚马逊 AWS S3 存储器配置错误的情况命名为“ GhostWriter 漏洞 ”，其首席科学家兼总工程师 Sekhar Sarukkai 周五在博文中发布警告称 “ GhostWriter 漏洞或将允许黑客针对托管公司的客户/内部员工进行中间人（MitM）攻击后窃取用户敏感信息”。 研究人员表示，攻击者只需要通过互联网识别具有写入权限的公开 S3 存储器后就可访问目标服务器并覆盖所有数据与文件，或上传恶意软件至存储器。此外，存储 JavaScript 或其他代码的存储器管理人员更应该关注这个问题，以确保黑客不会为了分发恶意软件、挖掘比特币等操作默默覆盖原始内容。 一旦攻击者发现一台具有写入权限的公开 S3 存储器时，他就可以通过替换任一广告程序代码后将其重定向至恶意页面，从而进行中间人攻击或拦截流量的操作。此外，由于该攻击手段极其隐蔽且多数组织均依赖于亚马逊云服务商的信任，因此该类攻击活动并不容易被用户察觉。 目前，尚不清楚该漏洞是否已被利用，但它显然存在。好在研究人员在发现漏洞后立即通知了亚马逊并与其合作，以便迅速解决问题。另外，研究人员还提醒各企业管理员将公司托管的存储器设置为不可公开写入，并确保员工只能从安全的 S3 存储器中下载文件以避免来自外部的黑客攻击。 原作者：Kevin Townsend，译者：青楚  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

IEEE P1735 电子标准描述了加密电子设计知识产权（IP）的方法，以及如何管理 IP 的访问权限；规定了用于电子设备硬件与软件的加密设计知识产权方法和技术建议，以及互操作性模型的工具和流程，其中包括选择加密和编码算法以及加密密钥管理。与此同时，它还保护了电子设备硬件与软件免于逆向工程和 IP 盗窃。 研究人员表示，由于 IEEE P1735 电子标准允许不同制造厂商的代码在硬件组件中运行以及安全交互，意味着解密过程极其复杂。因此，几乎所有的供应商都采用 IEEE P1735 电子标准保护他们的知识产权。不过，佛罗里达大学的研究人员近期在审查 IEEE P1735 电子标准时发现多处漏洞，或将允许黑客绕过安全防御体系后以明文方式访问企业知识产权。以下是研究人员发现的主要漏洞列表： ο CVE-2017-13091：在 CBC 模式下，填充的错误指定允许使用 EDA 工具破解 oracle； ο CVE-2017-13092：HDL 语法的错误指定允许使用 EDA 工具作为破解 oracle； ο CVE-2017-13093：可修改任何加密的 IP 密码，以插入硬件木马； ο CVE-2017-13094：可修改加密密钥并在任何 IP 中插入硬件木马； ο CVE-2017-13095：可修改许可证的拒绝回应； ο CVE-2017-13096：可修改权限模块以摆脱或放松访问控制； ο CVE-2017-13097：可修改权限模块以解除或放松访问控制。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 macrumors 报道，当地时间 11 月 4 日，Apple Watch 出现了一个奇怪的漏洞，即当用户通过 Siri 询问诸如 “现在温度是多少”、“现在下雨了吗”等天气问题时手表则会出现崩溃的情况。已经有多名用户在苹果相关论坛上反映了这一问题。 经证实，受该漏洞影响的设备包括了 LTE 版 Apple Watch Series 3 和 GPS 版 Apple Watch Series 3 以及老款运行 watchOS 4.1 的 Apple Watch。不过并不是所有国家的用户都受到了影响，获悉，该问题似乎仅出现在了美国、加拿大、欧洲。目前，尚不清楚导致这一问题出现的原因，而天气软件运行则一切良好，重启或重置手表都无法解决问题。 奇怪的是，当通过 Siri 询问明天或下周的天气时并不会出现以上这种问题–也就是说，只有询问当下天气的时候才有。对此，一位 reddit 用户认为，这很有可能跟即将到来的时令变化有关。也许苹果很快就能解决掉这个问题，但对于受影响的用户来说现在最好的办法就是避免通过 Siri 询问天气。 稿源：cnBeta，封面源自网络；

HackerNews.cc 11 月 4 日消息，网络安全公司 We Are Segment 研究人员 Filippo Cavallarin 近期在 FireFox 浏览器中发现一处关键漏洞 TorMoil，能够导致用户真实 IP 地址在线泄漏。该漏洞最终也将影响 Tor 浏览器，因为 Tor 服务的隐私保护核心允许用户在线匿名使用 FireFox 浏览器访问网页。据称，Linux 和 MacOS 系统的 Tor 浏览器普遍受到影响。不过，目前 Tor Project 已将 Tor 浏览器升级至 7.0.9 版本进行补丁修复。 调查显示，TorMoil 漏洞是用户在 Firefox 浏览器中处理 “file://url” 链接时发现的。据悉，当用户点击以 file://url 为开头的链接后，系统会自动触发 TorMoil 漏洞。一旦受影响用户运行的是 MacOS 或 Linux 系统，它就会重定向至另一恶意网页，从而允许攻击者远程操作用户主机系统。目前，考虑到 Tor 用户的安全与隐私问题，其研究人员并未在线公布漏洞相关细节。 Tor Project 表示，虽然现在并没有证据表明该漏洞未被国家赞助的黑客或技术高超的网络犯罪分子利用，但由于暗网市场对于 Tor 的零日漏洞需求很大，因此 Tor 代理商 Zerodium 极其担心用户遭受网络攻击。另一方面，为了保护用户的隐私问题，Tor Project 近期发布 Tor 0.3.2.1-alpha 版本，集成了最新加密技术，其中还包括对于下一代 Tor 服务的支持。 原作者：Mohit Kumar，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

捷克 Masaryk 大学的安全研究人员于今年 10 月中旬发现，德国半导体制造商英飞凌 Infineon 科技公司所采用的专用微控制器 TPM 存在一处高危漏洞 ROCA（CVE-2017-15361），允许攻击者进行因数分解攻击的同时，通过目标系统的公钥反向计算私有 RSA 加密密钥。该种攻击手段影响了公司 2012 年之前生产的所有加密智能卡、安全令牌以及其他安全硬件芯片等。 近期，IT 安全研究人员发现瑞士公司 Trub AG 为爱沙尼亚国民制造的电子身份证中所使用的加密芯片就受到此漏洞影响，因此该国认为此漏洞极有可能危及公民身份安全。随后，当局在接到风险通知后立即于本周四宣布，禁用国家发行的电子身份证的安全数字证书，以减少用户身份被盗风险。调查显示，该芯片漏洞或将危及逾 76 万爱沙尼亚国民电子身份证安全。 爱沙尼亚被认为是最具技术含量的欧洲国家。自 2005 年以来，该国最先使用电子投票，因此被称为 E-stonia。据悉，瑞士公司 Trub AG 自 2001 年以来一直为爱沙尼亚国民制造电子身份证，目前已发行 130 万张。爱沙尼亚总理 Juri Ratas 发表声明： “国家电子系统的运作是建立在信任的基础上，我们无法承担国民身份证所有者存在被盗的风险。因此国家将通过禁用电子证件的方法，确保公民身份安全 ” 。 目前，虽然并没有任何国民的电子身份发送盗窃事件，但警方和边防检查委员会，以及信息系统管理局的威胁评估表明，这种威胁极有可能变成现实。不过，好在国家警方在该漏洞曝光之后立即针对国民电子身份证系统进行升级，对此国民可以通过远程更新安全证书，或在爱沙尼亚警方和边防警卫服务站点进行更新。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌公司内部平台问题追踪（Issue Tracker）系统近日被安全研究员曝出漏洞，利用这项漏洞攻击者可破解并获得该系统的访问权限，这能够让攻击者访问更多谷歌内部收到的功能建议和未修补漏洞详细报告，如果攻击者利用这些信息，会得到更多可利用的漏洞，造成更大的潜在威胁。在安全专家 Alex Birsan 通知谷歌后，谷歌在一小时内修补了该漏洞。 安全专家 Alex Birsan 公开了关于漏洞的细节，他发现利用一个函数调用能够让外部人员取消谷歌特定故障系统邮件列表的订阅，一旦取消订阅，系统就会认定该用户拥有高权限，从而向其发送漏洞详细细节的正式报告。而且 Birsan 还发现当他利用该函数调用取消一个他此前未订阅过的邮件列表，他也会获得关于该列表的所有漏洞细节。 这也意味着 Birsan 能够通过该方法调取涉及任何谷歌产品其它问题的故障详细报告，只要谷歌接收过关于此问题的漏洞报告。Birsan 认为利用这些报告，黑客能够找到许多未被公开的漏洞，发动更具威胁性的攻击。 稿源：cnBeta，封面源自网络；

据外媒报道，苹果正式对外发布了 iOS 11.1 正式版，对于所有用户来说，你必须要升级，因为它修复了 WPA2 WiFi 安全漏洞，这对于用户来说是一个极其严重的问题。 从苹果给出的更新说明来看，本次 iOS 11.1 正式版加入了大量的 Unicode 10 emoji 新表情，同时还对系统的一些 Bug 进行了修复，同时还对续航进行了优化。最值得一提的是，iOS 11.1 正式版修复了 WPA2 WiFi 安全漏洞。 之前曾曝出的这个名叫 “KRACK” 的漏洞是基于 WPA2 保密协议，其几乎影响了所有使用 WPA2 协议的设备，如果你的设备支持 WiFi，那么这个漏洞就会影响到你，攻击者不需要破解 Wi-Fi 密码，就可以轻松来窃取用户的信用卡卡号、密码、聊天信息、照片、电子邮件以及在线通讯工具内容。 不过目前比较乐观的是，研究者并没有公布这个漏洞利用的代码。别的不说，单单针对这个漏洞大家都值得去升级。最后就是， iOS 11.1 找回了便捷访问的下拉屏幕中间可以调出锁定屏幕的手势。 稿源：TechWeb、快科技，封面源自网络；

HackerNews.cc 10 月 26 日消息，网络安全公司 IOActive 研究人员近期发现 Stratos Global 公司专为船舶卫星通讯设计的 AmosConnect 8 产品存在两处安全漏洞，可允许黑客通过后门账户获取系统特权，并在登录表单的数据库中注入恶意代码。 AtmosConnect 8 产品是一个受密码保护的在线平台，具备卫星通信（SATCOM）系统，即主要通过卫星为全球船舶、石油钻机或其他海上工具提供互联网连接。 Stratos Global 公司于 2009 年被移动卫星服务公司 Inmarsat Group 收购，不过 IOActive 可能不会收到公司针对该漏洞发布的任何补丁修复程序，因为 Stratos Global 于 2017 年 6 月就已发表声明，宣称停止提供与支持 AmosConnect 8 系统服务。 据悉，研究人员在 AtmosConnect 源代码中发现一个名为 “authenticateBackdoorUser” 的函数，允许任何黑客通过后门访问 AtmosConnect 8 平台系统。然而，他们在调查代码时发现通过后门访问的账号是唯一的，且与每台 AtmosConnect 8 登录页面上显示的 ID 一样，这意味着任何人都可以通过查看 AtmosConnect 源代码逆向出真实密码。 目前，除了后门攻击外，平台也受到登录表单 SQL 注入漏洞的影响，允许攻击者访问内部数据库的凭据、控制 AmosConnect 服务器。不过，研究人员也表示这些漏洞的利用条件较为苛刻且难以被大规模利用，因为攻击者能够通过特定漏洞访问敏感网络的几率极小，但对于有国家资助的黑客团队而言这都只是时间问题。研究人员 Ballano 表示，由于我们的全球物流供应链依赖于海上网络安全，因此网络犯罪分子正寻求越来越多的攻击方式危及各卫星通信系统。对此，研究人员建议相关机构趁早加强海上网络安全防御措施，以抵御来自境内外可能的黑客攻击活动。 原文作者：Catalin Cimpanu，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，Windows 10 用户于 10月 17 日迎来了秋季创作者更新，并带来了包括游戏反作弊功能、Fluent Design System 设计等在内的新内容。虽然新功能受到了用户的喜爱，但新系统一个问题却令他们非常困扰。知情人士获悉，部分用户在安装完秋季创作者更新之后无法在“开始”菜单中找到一些应用程序，并且在系统中也很难找到，即便想要通过 Cortana 寻找也于事无补，而唯一的办法就是在 Windows Store 中启动。 微软近期终于承认这个错误，并解释说，它正在调查安装秋季创作者更新后丢失应用程序的报告，同时还提供了排除步骤来还原应用程序的文章。重要的是，该公司还没有明确何时修复这个 个问题，尽管在未来几个月的某个时候，该错误可能会通过累积更新来解决。 据悉，微软给出的教程，可以通过卸载和重新安装，修复或重置丢失的应用程序，或使用 PowerShell 重新注册应用程序。如果没有任何作用，用户将有两个更为戏剧性的选择：返回到之前的 Windows 10 版本，或者完全重置系统，并将所有设置恢复为默认值。 稿源：cnBeta，封面源自网络；