分类: 漏洞事件

苹果 M1 芯片被爆新漏洞 但普通用户完全不需要担心

近日,安全专家在 M1 芯片中发现了名为“M1RACLES”漏洞,是存在芯片组设计中的一个错误。该错误允许任意两款应用程序绕过常规系统功能秘密交换数据,如果不对芯片进行修复,这个漏洞是无法修复的。不过发现这个漏洞的人–逆向工程师和开发人员 Hector Martin 表示,Mac 用户并不需要担心这个漏洞,因为它基本上无法用于任何恶意的行为。 Martin 甚至写了个非常长的 FAQ ,调侃“过度操作”的漏洞披露。该漏洞不能用于接管计算机或窃取私人信息,也不能从网站的Javascript中被利用。马丁指出,它可以被用来“rickroll”(恶作剧)某人,但有很多其他方法可以做到这一点。 Martin 写道:“如果你的电脑上已经感染了恶意软件,这个恶意软件可以以一种意想不到的方式与你电脑上的其他恶意软件沟通”。但是,恶意软件有很多方式进行通信,完全用不到这个漏洞。 Martin 继续说道:“真的,在现实环境下,没有人会真正为这个缺陷找到邪恶的用途。此外,在每个系统上,已经有一百万个侧面通道可以用于合作的跨进程通信(例如缓存的东西)。秘密通道不能从不合作的应用程序或系统中泄露数据。事实上,这个问题值得重复。秘密渠道是完全无用的,除非你的系统已经被破坏”。 换句话说,最坏的情况是,用户系统上的恶意软件可以利用这个漏洞来相互通信。等到Mac电脑受到这种损害时,很可能攻击者反正也不需要使用它。尽管不是一个严重的缺陷,该漏洞仍然是一个漏洞,因为 “它违反了操作系统的安全模式”。 至于为什么存在这个漏洞,马丁说一个苹果工程师犯了一个错误。更具体地说,苹果 “决定通过删除一个强制性功能来破坏ARM规范,因为他们认为他们永远不需要在macOS上使用这个功能”。据报道,通过删除该功能,苹果公司使现有的操作系统更难缓解它。   (消息及封面来源:cnBeta)

蓝牙两大规范被爆安全漏洞 可被黑客利用进行中间人攻击

蓝牙核心规范(Bluetooth Core)和蓝牙网状网络连接技术(Mesh Profile)规范近日被爆安全漏洞,可被网络犯罪分子利用进行中间人(man-in-the-middle)攻击。根据卡内基梅隆大学 CERT 协调中心的报告,“支持Bluetooth Core 和 Mesh 规范的设备存在漏洞,容易受到冒名攻击和AuthValue泄露,这可能使攻击者在配对期间冒充合法设备”。 这两个蓝牙规范确保了多对多蓝牙通信的协议,并使设备之间通过临时网络共享数据。蓝牙冒充攻击(Bluetooth Impersonation AttackS),也称为 BIAS,允许网络犯罪分子与受害者建立安全连接,并有效绕过蓝牙的认证机制。 根据安全研究人员的说法,与安全建立蓝牙认证程序、不良功能切换和安全连接降级有关的第一个问题是BIAS攻击。它们相当稳定,因为安全蓝牙连接不需要用户互动。为了证实 BIAS 攻击实际上是有效的,研究人员对苹果、高通、英特尔、赛普拉斯、博通、三星和CSR的所有主要蓝牙版本进行了测试,对主要技术供应商的 31 个蓝牙设备(28个特定蓝牙芯片)进行了测试。 在 Bluetooth Mesh Profile 规范 1.0 和 1.1 版本中发现了4 个漏洞。完整漏洞包括: ● CVE-2020-26555 蓝牙传统BR/EDR引脚配对协议中的冒充行为(从 v1.0B 到 5.2 版本的蓝牙核心规范) ● CVE-2020-26558 蓝牙LE和BR/EDR安全配对过程中的密码输入协议中的冒名顶替(从 2.1 到 5.2 版本的蓝牙核心规范)。 ● N/A(未编号) 蓝牙LE传统配对协议的认证(从 4.0 到 5.2 版本的蓝牙核心规范) ● CVE-2020-26556 蓝牙Mesh配置文件配置中的可塑性承诺(从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范)。 ● CVE-2020-26557 蓝牙Mesh Profile供应中的可预测 AuthValue(从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范)。 ● CVE-2020-26559 蓝牙 Mesh Profile AuthValue 泄漏(从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范)。 ● CVE-2020-26560 蓝牙Mesh Profile配置中的冒名攻击(从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范)。 在列出的受这些安全缺陷影响的产品供应商中,有Android开源项目(AOSP)、思科、Cradlepoint、英特尔、微芯科技和红帽。AOSP、思科和微芯科技表示,他们正在努力缓解这些问题。 负责监管蓝牙标准制定的蓝牙特别兴趣组 (Bluetooth SIG) 也在今天早些时候发布安全公告,指出了针对影响这两个易受攻击标准的每个安全缺陷的建议。Bluetooth SIG 表示,该组织机构正在就该漏洞及其修复方案与会员企业广泛沟通详情,并鼓励它们快速集成任意必要补丁。和之前一样,蓝牙用户应确保安装了操作系统厂商最新推荐的更新版本。   (消息及封面来源:cnBeta)

苹果修复 macOS 11.4 零日漏洞:可被攻击者秘密截屏或录制视频

Apple Insider 报道称,苹果刚刚为 macOS Big Sur 11.4 修复了一个零日漏洞。早前的概念验证表明,攻击者可通过劫持现有应用程序的权限,来秘密截取屏幕画面或录制视频。率先曝光此事的 Jamf 安全研究人员称:为控制应用程序能够访问哪些系统功能,苹果特地在 macOS 中实施了“透明许可与控制”框架,但该零日漏洞还是为此类攻击敞开了大门。 更糟糕的是,Jamf 指出,该漏洞似乎已在野外被积极利用。他们在研究名为 XCSSET 的 Mac 恶意软件时发现了该缺陷,可知 XCSSET 是通过受感染的 Xcode 项目而让 macOS 开发者躺枪的。 在利用该漏洞劫持了其它应用程序的权限之后,恶意软件将使得攻击者达成许多目的,比如挂接到具有视频录制权限的 Zoom 云视频会议软件中。然而只有在利用该漏洞进行屏幕截图的时候,它才会被用户所察觉。 庆幸的是,苹果已于本周一发布了针对 macOS Big Sur 11.4 的这一漏洞补丁。与此同时,macOS Mojave 和 Catalina 也迎来了两个安全更新。 苹果在致《福布斯》的一份声明中强调,该漏洞仅影响通过 Mac 官方应用商店之外的渠道来下载应用程序的用户。 早些时候,苹果软件工程主管 Craig Federighi)还在 Epic 诉 App Store 案件的证词中表示 —— 与 iOS 移动设备相比,Mac 平台上的恶意软件状况是难以让人接受的。   (消息及封面来源:cnBeta)

有证据表明高通驱动中的 4 个漏洞已经被黑客利用 数百万台设备受影响

有证据标明存在于高通和 Mali GPU 内核驱动中的漏洞已经被黑客利用,至少有数百万台 Android 设备受到影响。到目前为止,Google Pixel 设备是唯一得到修补的设备,但其他 Android 设备延迟更新的长期问题仍然存在。 本月早些时候,安全公司 Check Point 发现,为数亿台 Android 设备提供动力的高通芯片存在一个关键的安全漏洞。在本周更新的 5 月 Android 安全公告中,表示 5 月 1 日披露的漏洞中有 4 个已经被黑客利用发起攻击。 在安全公告中,罗列了不少于 42 个漏洞,这些漏洞在 2021 年 5 月的安全更新中被修补,但当时该公司并不知道有任何漏洞被积极利用。而最新数据标明,其中 4 个漏洞可能处于“有限、有针对性的利用”中。 其中两个漏洞影响到数百个芯片组中的高通 GPU,包括最新的支持 5G 的芯片组,如骁龙 768G 和骁龙 888。另外两个漏洞影响到Arm Mali GPU(用于数百万安卓设备)的内核驱动,其严重性不可低估,因为它们允许攻击者完全控制你的手机。 安全公司Zimperium的副总裁Asaf Peleg告诉Ars Technica,”从提升默认情况下的权限到执行当前进程现有沙盒之外的代码,设备将被完全破坏,没有数据是安全的”。   (消息及封面来源:cnBeta)

研究人员将披露两个影响 AMD 处理器的 SEV 漏洞

与竞争对手 Intel 相比,AMD 处理器在安全性方面表现得相对出色。但在偶尔的情况下,研究人员还是会发现一些容易被利用的新攻击。TechPowerUp 指出,在即将于 5 月 27 日举办的第 15 届 IEEE WOOT’21 技术研讨会上,将有两篇专门针对 AMD 安全加密虚拟化(SEV)漏洞的新文章等待发表。 来自德国慕尼黑工业大学和吕贝克大学的研究人员,将分别披露有关 CVE-2020-12967 和 CVE-2021-26311 安全漏洞的论文。 虽然尚不清楚 AMD SEV 新漏洞的详情,但我们不难猜测有哪些处理器受到了影响。由于 SEV 是一项企业级的安全特性,因此 AMD 的霄龙(EPYC)服务器处理器将首当其冲。 AMD 表示,相关漏洞影响所有 EPYC 嵌入式 CPU,以及 1、2、3 代霄龙处理器。对于后者,该公司已经提供了专门的 SEV-SNP 缓解功能。 至于其它产品线,官方还是建议客户尽量在各个方面都遵从最佳的安全实践,以避免受到潜在的 SEV-SNP 攻击的影响。   (消息及封面来源:cnBeta)

研究人员揭示存在 54 年的通用图灵机零日漏洞 可用于执行任意代码

瑞典斯德哥尔摩 KTH 皇家理工学院的计算机科学教授 Pontus Johnson,刚刚在一篇学术文章中介绍了他在通用图灵机(UTM)中发现的可执行任意代码的相关漏洞。作为历史上最早的计算机设计之一,通用图灵机(UTM)是由已故的人工智能学家 Marvin Minsky 在 1967 年提出的一项概念模拟设计。尽管他承认这么做没有“现实意义”,但此事还是引发了业内人士的广泛讨论。 The Register 指出,这其实是一个相当有趣的哲学观点,即如果计算机的最简单概念之一容易受到用户的干预,那我们应该的设计过程中尝试部署哪些安全特性? Pontus Johnson 在论文中写道:“通用图灵机常被认为是最简单、最抽象的计算机模型,但通过利用 UTM 缺乏输入验证这一缺点,就能够诱骗它运行第三方编写的程序”。 据悉,Marvin L. Minsky 在 UTM 的概念设计中描绘了一款基于磁带的机器,它能够从模拟磁带中读取并执行相当简单的程序。 磁带上的指令以单行字母数字字符来表示,且能够通过模拟磁头的左右移动来读取。尽管用户能够在磁带开头进行输入,但在 UTM 模型中,却没有考虑到用户不该修改随后的程序。 Pontus Johnson 补充道:“抛开历史意义不谈,我们还是可以深入讲解这一最简单计算机概念的脆弱性倾向”。 然而 UTM 的“安全性”取决于一位数字,它被用来告诉机器“用户输入到此为止,之后的所有内容,都可适用机器刚刚读取的参数来执行“。 尽管 Marvin L. Minsky 没有打造安全或易受攻击的系统的意图,但计算机科学家们显然还是喜欢从基础学术原理下手论证。 验证攻击的方法也很是简单,只需在用户输入字段中编入‘输入在此结束’字符,然后补上自己想要执行的程序即可。 届时 UTM 会执行该操作,并跳过原本预期的后续程序。如果将复杂性扩大一些,你会发现它甚至具备了 SQL 注入漏洞的所有特征。 综上所述,对于硬件和固件设计人员来说,最好还是从一开始就考虑到各项安全措施的部署。感兴趣的朋友,可查阅 CVE-2021-32471 的更多细节。   (消息及封面来源:cnBeta)

所有 Wi-Fi 设备皆存在 FragAttacks 漏洞 个人信息可能因此遭窃

知名网络安全研究人员Mathy Vanhoef发表一系列Wi-Fi设备安全漏洞,这些漏洞被统称为FragAttacks,是碎片(Fragmentation)以及聚合攻击(Aggregation Attacks)的组合字,全球Wi-Fi设备无一幸免,连最新的WPA3规范都存在设计缺陷。位在受害者无线电范围内的攻击者,可以利用FragAttacks漏洞窃取用户信息并且攻击设备。 FragAttacks一系列的漏洞其中3个来自Wi-Fi标准中的设计缺陷,所以大多数的设备都受到影响,而更重要的是,Mathy Vanhoef还发现了一些漏洞,这些漏洞是由Wi-Fi产品中普遍存在的程序错误引起。经证实,每个Wi-Fi产品都至少受一个FragAttacks漏洞影响,并且绝大多数的产品都存在多个漏洞。 这些漏洞影响所有Wi-Fi的安全协议,包括最新的WPA3规范,甚至是Wi-Fi最初的安全协定WEP都在影响范围中,也就是说,从1997年Wi-Fi发布一样,这些设计缺陷已经成为Wi-Fi的一部分。值得庆幸的是,设计缺陷难以被黑客利用,Mathy Vanhoef提到,因为这些设计缺陷必须要有用户参与,才有可能被滥用,又或是只有在使用不常见的网络配置时,才有可能被实现。 因此FragAttacks漏洞最大的隐忧,还是在Wi-Fi产品的程序错误,其中几个漏洞可轻易地被恶意攻击者利用。 FragAttacks漏洞包括了一个明文注入漏洞,恶意攻击者可以滥用实作缺陷,将一些恶意内容注入到受保护的Wi-Fi网络中,尤其是攻击者可以注入一个精心建构的未加密Wi-Fi讯框(Frame),像是透过诱使客户端使用恶意DNS服务器,以拦截用户的流量,或是路由器,也可能被滥用来绕过NAT或防火墙,进而使攻击者之后可以攻击本地端中的Wi-Fi设备。 另外还有一些实作漏洞,例如即便发送者未通过身分验证,部分路由器也会将交握讯框发送给另一个客户端,这个漏洞让攻击者不需要用户交握,即可执行聚合攻击注入任意讯框。还有一个极为常见的实作错误,便是接收者不检查所有片段是否属于同一讯框,这代表攻击者可以混和两个不同讯框的片段,来伪造讯框。 即便部分设备不支持分段或是聚合功能,但是仍然容易受到攻击,因为这些设备会将分段的讯框,当做完整的讯框进行处理,在部分情况这可能会被滥用来注入数据封包。 Mathy Vanhoef表示,发现这些漏洞很让人惊讶,因为在过去几年中,Wi-Fi的安全性实际上应该获得改善。过去Mathy Vanhoef团队所发现的KRACK攻击,其后来加入的防御机制已经被证明其安全性,而且最新的WPA3安全规范也获得安全性改进,但是本来可以被用来防止新发现的设计缺陷之一的功能,并未在实践中实际被采用,而另外两个设计缺陷则是在先前未被广泛研究的Wi-Fi功能中被发现。 因此Mathy Vanhoef也强调,即便是最著名的安全协议,都要仔细进行分析,定期测试Wi-Fi产品的安全漏洞也是非常重要的工作。为了保护广大的用户,安全更新工作已经进行了9个月,现在才对外揭露漏洞信息,漏洞修补工作由Wi-Fi联盟和ICASI进行监督,MathyVanhoef提到,当设备还没接收到关于FragAttacks漏洞的安全更新,用户要确保网站使用HTTPS协议,并且尽可能安装所有可用的更新,以缓解部分攻击。   (消息及封面来源:cnBeta)

Adobe Acrobat 与 Reader 爆出远程代码执行漏洞 须尽快安装补丁

Adobe在周二发布了一系列补丁,包含12个不同应用程序的安全更新。其中一个最常见应用程序,即Adobe Reader的漏洞目前正被积极利用。据Adobe称,Adobe Acrobat和Reader的其中一个漏洞CVE-2021-28550已经在外部被利用,对Windows设备上的Adobe Reader进行了有限的攻击。 Adobe Experience Manager、Adobe InDesign、Adobe InCopy、Adobe Genuine Service、Adobe Illustrator、Adobe Acrobat和Reader、Magento、Adobe Creative Cloud Desktop Application、Adobe Media Encoder、Adobe After Effects、Adobe Medium和Adobe Animate等应用都已更新。 其中CVE-2021-28550是Windows中的一个远程代码执行漏洞,允许攻击者运行几乎任何命令,包括恶意软件安装和接管计算机。 Adobe Acrobat和Reader被修补了十个关键和四个重要的缺陷,其次是Adobe Illustrator的五个关键缺陷(CVE-2021-2101-CVE-2021-21105)。后者可能导致在当前用户的上下文中执行任意代码。Fortinet公司FortiGuard实验室的Kushal Arvind Shah报告了三个漏洞。 总共有43个漏洞被修复,其中不包括Adobe Experience Manager的依赖性更新。 在今天发布的所有Adobe安全更新中,Adobe Acrobat & Reader的漏洞最多的,足足有14个修复工作要做。 如果你正在使用Adobe产品,那么你应该尽快更新,否则这些漏洞可能会成为计算机被攻击的潜在入口。鉴于Adobe Acrobat & Reader CVE-2021-28550漏洞已被用于主动攻击,因此越早安装更新越好。 在大多数情况下,你可以使用产品的自动更新功能来更新软件。或者,你也可以通过Adobe Creative Cloud检查更新。完整的更新安装程序可以从Adobe的下载中心下载。 一般来说,当检测到补丁时,产品会自动更新,不需要任何用户干预。再有,如果新的更新没有通过自动更新获得,你可以在安全公告中找到最新的下载链接。   (消息及封面来源:cnBeta)    

Linux 技术咨询委员会已完成对 UMN 内核漏洞植入事件的调查

此前为了一个处心积虑的 Linux 安全研究项目,两名 UMN 研究人员故意向 Linux 内核插入了有后门漏洞的补丁。事件曝光后,其立即遭到了 Linux 及安全社区的炮轰。最新消息是,由顶级 Linux 内核开发人员组成的 Linux 基金会技术咨询委员会,刚刚发布了针对明尼苏达大学“Hypocrite Commits”补丁的全面审查报告。 作为一名受人尊敬的 Linux 稳定版内核维护贡献者,Greg Kroah-Hartman 希望对 UMN 漏洞植入事件展开彻底调查,且临时禁止了任何与 UMN 有关的提交。 不过随着调查结果的公布,我们通过 Linux 内核邮件公告列表(LKML)知悉,Linux 基金会技术咨询委员会(TAB)领导的高级志愿 Linux 内核维护和开发人员团队,已经正式完成了相关代码的审查。 据悉,与 UMN 相关的 435 项提交已被重新审核。尽管绝大多数内容都没有问题,但仍有 39 项被认为需要进一步的修复。 其中 25 项已通过后续提交修复,另有 12 项不再重要。此外 9 项提交早于争议事件发生,还有 1 项已应提交人的要求而被删除。 最终认定 UMN 研究人员向 LKML 提交了 5 项故意破坏的更改,这些更改源于两个伪造的提交者身份。 然而此举与公认的 Linux 内核代码贡献准侧背道而驰,且校方似乎允许研究人员在特殊情况下使用伪造的认证开发者身份。 尽管没有曝出新发现的攻击,但此事还是迫使 Linux 内核开发人员对大量代码展开重新审查。 正如 Kroah-Hartman 所述,就算影响再小,他们都不允许故意在 Linux 内核中植入后门漏洞。 庆幸的是,针对 Linux 基金会技术咨询委员会提出的大多数请求,UMN 方面都给予了积极的回应,且后续向 Linux 社区全面披露了有关 Hypocrite Commits 项目是如何开展的细节。 最后,虽然此事造成了双方信任度的崩塌,但展望未来,只要 UMN 能够切实有效地提供帮助,Linux 社区还是希望再次与该校及其研究人员恢复合作的。   (消息及封面来源:cnBeta)

数百万 PC 受影响 戴尔正修复固件更新驱动中的重大漏洞

戴尔固件更新驱动中发现了重大漏洞,能够让攻击者配合其他漏洞来访问内核级别的代码。虽然这些漏洞本身并不存在允许远程代码执行的风险,但它仍然是一个重大问题,最近 10 年内推出的数百万台戴尔设备均受到影响。 去年 12 月,研究公司 SentinelLabs 就向戴尔报告了这个漏洞,并发布了包含所有信息的详细博客。此外,来自 Crowdstike 的 Alex Ionescu 说,“3 家独立的公司花了 2 年时间”,才将修复措施落实到位。 该研究公司指出,戴尔分配的一个CVE中存在五个缺陷,其中包括两个内存损坏问题,两个缺乏输入验证的问题,以及一个可能导致DDoS(拒绝服务)攻击的代码逻辑问题。问题存在于 “dbutil_2_3.sys “驱动程序中,该驱动程序用于戴尔和 Alienware系统的多个固件更新工具,包括用于BIOS更新。这些问题在CVE-2021-21551下被追踪。 戴尔已经针对该漏洞发布了安全公告(DSA-2021-088),并为Windows提供了更新包,可以从这里手动下载。另外,固件驱动程序也将通过各种戴尔通知系统提供,这些系统将从 5 月 10 日开始在 Windows 10 设备上提供自动更新。然而,运行 Windows 7 和 8.1 尚处于支持状态的 PC 将在 7 月 31 日才收到它们。 该公司已建议客户和企业采取一些步骤,以减轻缺陷带来的风险。这包括从电脑中删除 “dbutil_2_3.sys “驱动程序,并手动更新驱动程序,或等待自动下载带有更新驱动程序的更新工具。要删除有问题的驱动程序,该公司推荐这两个选项中的一个。 方案 1(推荐)。下载并运行戴尔安全咨询更新 – DSA-2021-088工具。 方案 2:手动删除有漏洞的dbutil_2_3.sys驱动程序。 步骤A:检查以下位置的dbutil_2_3.sys驱动文件 C:\Users\AppData\Local\Temp C:\Windows\Temp 步骤B:选择dbutil_2_3.sys文件,并按住SHIFT键,同时按DELETE键永久删除。     (消息及封面来源:cnBeta)