据外媒报道，Talos 网络安全团队发现，继 Stegano 漏洞开发工具包（ EK ）更新版本发布后，Terror EK 于近期也进行了优化完善，不仅可以指纹识别用户设备，还可针对特定漏洞侵入目标系统。 Terror EK 最早出现在 2017 年 1 月的威胁势态中，其安全专家于 4 月观察到黑客利用 Terror EK 开展的攻击活动呈显著上升趋势。由于该工具包与 Sundown EK 存在相似之处，所以 MalwareBytes Labs 专家最初认为是后者的新变种，但调查结果显示，两种工具包实际由不同研究人员开发。 黑客 @666_KingCobra 曾在各地下论坛以不同名称（  Blaze、Neptune 与 Eris）发布 Terror EK 售卖广告。Malwarebytes Labs 专家表示，Terror EK 在恶意软件传播活动中主要利用 IE 浏览器、Flash 与 Silverlight 漏洞传播 Smoke Loader。此外， Terror EK 还参与了另一起攻击活动，即利用不同登录页面传播恶意软件 Andromeda。 调查显示，Terror EK 新版本能够确定受害者 PC 端运行的特定操作系统、浏览器版本、安装的安全补丁与插件。当黑客通过不同浏览器（如 IE11 或 IE8 ）访问该网站时，则需使用不同插件。此外，安全研究人员还发现，Terror EK 使用基于 cookie 的身份验证下载漏洞并阻止第三方访问。据称该方法不仅可以防止调查人员了解受害系统如何遭受感染，还可防止其他攻击者窃取这些漏洞。 原作者： Pierluigi Paganini， 译者：青楚 ,译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据 BBC  20 日报道，香港知名企业汇丰银行（ HSBC ）的一个客户 Dan Simmons 与其孪生兄弟发现银行语音识别系统存在漏洞，可通过模仿目标用户的声音进行身份验证并获取账户信息。 汇丰银行于 2016 年推出语音识别 ID 系统，要求客户设置人体声音为登录凭证，以便使用手机银行时可快速核实身份并授权访问帐户信息。汇丰银行表示，其语音识别系统可在数秒内分析客户声音并检查超过 100 种行为举止与身份特征（包括嘴巴的大小、形状、谈话的速度以及言语的表达)，以便匹配客户原始录音并允许使用手机银行登录。 BBC 报道称，Dan Simmons 在设立汇丰语音身份验证帐户后，弟弟 Joe 经过 8 次尝试、成功通过帐户详细信息、出生日期及简单的谈话访问了 Dan 汇丰帐户。虽然 Joe 无法从账户中提取任何资金，但他可获取账户余额、近期交易及转账信息。 汇丰银行表示，已在第一时间对系统进行了审查，并限制客户在被阻止访问之前只可进行三次语音 ID 识别检测。此外，该负责人还表示，就目前而言语音识别系统依旧是认证客户最安全的方法之一，该技术的引入不仅比 PIN 或密码验证安全可靠，还可大大减少电话欺诈行为。 原作者： Hyacinth Mascarenhas， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全公司 Sucuri 研究人员于近期发现，全球知名开源内容管理系统 Joomla! 3.7.0 Core 由于数据过滤不严谨出现 SQL 注入漏洞（CVE-2017-8917），允许黑客远程窃取数据库敏感信息、获得未经授权的网站访问权限。 知道创宇 404 安全团队针对该漏洞已输出分析报告： http://paper.seebug.org/305/ 考虑到 SQL 注入漏洞可使数百万网站遭受黑客攻击的风险，我们强烈建议网站管理员立即下载安装最新版本 Joomla! 3.7.1，以防黑客再度入侵网站、窃取用户信息。 本文内容翻译、整理：青楚，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒 17 日报道，安全公司 DefenseCode 的研究人员发现了 Google Chrome 浏览器中存在的一个漏洞，其允许攻击者通过欺骗用户在 Windows PC 端下载恶意文件或 SCF 文件，从而窃取用户登录凭证并启动 SMB（服务器消息块）中继攻击。 研究人员表示，此次攻击活动极其简单，受害者在点击恶意链接时，将自动下载 Windows Explorer Shell 或 SCF 文件，而 SCF 文件被触发后会向攻击者发送 SMB 服务器身份验证请求，从而泄露受害者的用户名与哈希密码。 调查显示，攻击者仅需诱导受害者在 Windows 环境下使用 Chrome 浏览器访问其恶意网站，即可窃取并使用受害者的身份凭证，即便受害者并无管理员权限。此外，研究人员表示，该漏洞将影响所有 Windows 版本下的 Chrome 浏览器，甚至包括 Windows 10 系统。 Chrome 的这一漏洞目前尚未被修复。安全专家提醒用户可通过禁用浏览器自动下载功能来防范风险，同时将 SMB 服务限制在专用网络内，并配置好基于 Internet SMB 服务器连接的防火墙端口。 原作者：India Ashok，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 12 日报道，安全公司 DefenseCode 研究人员发现谷歌 PHP API 客户端存在两个 XSS 漏洞，可能导致用户遭受网络钓鱼攻击。 XSS（跨站脚本攻击）：攻击者在 Web 页面插入恶意 Script 代码，致使用户浏览页面时自动执行代码，从而达到恶意攻击用户的目的。 调查显示，XSS 漏洞存在于 $_SERVER[‘PHP_SELF’] 函数之中，允许攻击者发送网络钓鱼邮件。倘若用户接收邮件并 “点击链接 ” ，那么攻击者即可假冒目标用户肆意发送恶意 JavaScript 并拥有无限访问网站权限。 目前，谷歌表示该库仅是 “ 测试版本 ” ，而关于如何使用 API 与 OAuth2 协议将谷歌数据应用于其他项目的可信 Stackoverflow 论坛与教程已在线公布很长时间。所以，用户不必太过担心，谷歌承诺尽快修复补丁，以保证用户系统的安全。 原作者：Richard Chirgwin，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

来自瑞士安全公司 Modzero 研究人员在检查 Windows Active Domain 的基础设施时发现惠普音频驱动中存在一个内置键盘记录器，允许黑客监控用户的所有按键输入。研究人员指出，惠普的音频驱动文件中隐藏缺陷代码 ( CVE-2017-8360 ) 的漏洞，它不但会抓取特殊键，而且还会记录每次按键并将其存储在人类可读取的文件中。 按键记录器会通过监控用户所按下的键来记录所有的按键。恶意软件和木马通常会使用这种功能来窃取用户账户信息、信用卡号、密码等私人信息。惠普计算机带有集成电路厂商 Conexant 开发的音频芯片，该厂商还会为音频芯片开发驱动即 Conexant 高清音频驱动，有助于软件跟硬件通信。根据计算机机型的不同，惠普还将一些代码嵌入由 Conexant 开发的音频驱动中，从而控制特殊键如键盘上的 Media 键。 这个记录文件位于公用文件夹 C:\Users\Public\MicTray.log 中，包含很多敏感信息如用户登录数据和密码，其它用户或第三方应用程序都可访问。因此安装到计算机上的恶意软件甚至是能物理接近计算机的人都能够复制日志文件并访问所有的用户按键、提取敏感数据如银行详情、密码、聊天日志和源代码。 据悉，受影响的机型包括 HP Elitebook 800 系列、EliteBook Folio G1、HP ProBook 600 和 400 系列等等。此外，研究人员还告警称 “ 其它使用了 Conexant 硬件和驱动器的硬件厂商 ” 也可能受到该漏洞影响。 稿源： cnBeta，封面源自网络

据外媒 10 日报道，苹果公司近期修复了允许黑客利用 MitM（中间人）攻击、窃取 iCloud 用户私人信息（姓名、密码、信用卡数据与 Wi-Fi 网络信息）的 iCloud Keychain 漏洞。 iCloud Keychain 同步功能允许用户在所有 Apple 设备之间共享密码与其他私人数据。苹果公司根据每台设备独有的同步身份密钥为同步过程实现端到端加密。 用户私人信息通过 iCloud Key-Value Store（KVS）传输时，应用程序与 KVS 之间的任何连接均由  syncdefaultsd 服务 与其他 iCloud 系统服务评断。 据悉，今年 3 月，研究人员 Alex Radocea 在即时通信加密协议（OTR）中发现这一漏洞，它能允许攻击者利用受信设备传输 OTR 数据。研究人员指出，攻击者不仅可以通过 MitM 攻击在无需同步身份密钥的情况下绕过 OTR 签名验证流程，还可在同步过程中利用该漏洞伪造其他可信设备截获相关数据。 安全专家强调，如果用户账户未启用双因素验证，攻击者可直接使用受害者 iCloud 密码访问并篡改 iCloud KVS 数据条目。此外专家警示，iCloud KVS 条目的潜在篡改与 TLS 通信证书的缺失都将为攻击者打开设备系统的大门。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

思科近期修复了一个通过 CIA 机密文件泄漏的 零日漏洞。漏洞编号为 CVE-2017-3881，允许攻击者向 318 个型号的思科网关发送命令远程执行恶意代码。 攻击代码是作为 Wikileaks  Vault7 系列 CIA 文件的一部分泄漏出去的。漏洞位于思科的 Cluster Management Protocol (CMP)中。CMP 使用 telnet 协议在网络中传递信号和通信，但它未能限制本地通信的 telnet 选项，不正确的处理畸形 CMP 特有的 telnet 选项。一位攻击者可以通过发送畸形 CMP 特有 telnet 选项，利用该漏洞与受影响的思科设备建立 telnet 会话，配置接受 telnet 连接。 稿源：Solidot奇客，封面源自网络

自 Google 宣布 OSS-Fuzz 之后的五个月内，这款工具在开源项目中嗅探出超过 1000 个 bug，其中包括 264 个潜在的安全漏洞。谷歌团队非常努力，每天都要处理 10 万亿的测试输入。其中，有 47 个项目早已整合了 Fuzz。Google 表示：“ OSS-Fuzz 已经在几个关键开源项目中找到了多个安全漏洞 ”。 其中，FreeType 2（10 个）、FFmpeg（17 个）、LibreOffice（33 个）、SQLite 3（8 个）、GnuTLS（10 个）、PCRE2（25 个）、gRPC（9 个）、Wireshark（7 个）。此外，OSS-Fuzz 还与另一个独立安全研究工具碰上了同一个 bug，它就是 CVE-2017-2801 。 据该公司所述，当某个项目集成 OSS-Fuzz 之后，后续它会自动抓取问题且几个小时后回溯至上游资源库，从而将用户受影响的可能性尽可能降低。Google 还称，OSS-Fuzz 已经报告超过 300 次超时和内存不足失败，其中有 3/4 已被修复。 稿源：据 cnBeta，封面源自网络

据报道，Google Project Zero 研究员 Tavis Ormandy 和 Natalie Silvanovich 在线公布一个 “ 非常糟糕 ” 的 RCE 漏洞，但并未披露细节和风险：“ 我们可能发现了近期内最糟糕的 Windows 远程代码执行漏洞，攻击者们不需要处于同一局域网中就可静默安装，这简直是一个虫洞 ”。 目前，微软尚未就此事作出回应，但该公司至少有 90 天的时间窗口开发修复补丁。如果他们在未来 3 个月内未能成功修复，那两位研究人员将会把漏洞详情公布在互联网中，这是 Google Project Zero 项目的一贯政策。其实，这并非 Google 安全研究人员首次（及近期）在微软产品中发现的漏洞，此前 Google 也曾在“ 超期 ”后强行曝光其它漏洞详情，比如今年 2 月份时曝光的某个微软浏览器漏洞。 尽管微软在上一个 “ 补丁星期二 ” （5 月 2 日）中进行了修复，但还是对 Google 披露漏洞（公开披露漏洞详情）行为表示不满，指责该举措将致使成千上万的 Windows 用户处于风险之中。此外，至于微软能否在 5 月 10 日修复上周曝光的漏洞，目前仍有待观察。 稿源：cnBeta，封面源自网络