瑞典斯德哥尔摩 KTH 皇家理工学院的计算机科学教授 Pontus Johnson，刚刚在一篇学术文章中介绍了他在通用图灵机（UTM）中发现的可执行任意代码的相关漏洞。作为历史上最早的计算机设计之一，通用图灵机（UTM）是由已故的人工智能学家 Marvin Minsky 在 1967 年提出的一项概念模拟设计。尽管他承认这么做没有“现实意义”，但此事还是引发了业内人士的广泛讨论。 The Register 指出，这其实是一个相当有趣的哲学观点，即如果计算机的最简单概念之一容易受到用户的干预，那我们应该的设计过程中尝试部署哪些安全特性？ Pontus Johnson 在论文中写道：“通用图灵机常被认为是最简单、最抽象的计算机模型，但通过利用 UTM 缺乏输入验证这一缺点，就能够诱骗它运行第三方编写的程序”。 据悉，Marvin L. Minsky 在 UTM 的概念设计中描绘了一款基于磁带的机器，它能够从模拟磁带中读取并执行相当简单的程序。 磁带上的指令以单行字母数字字符来表示，且能够通过模拟磁头的左右移动来读取。尽管用户能够在磁带开头进行输入，但在 UTM 模型中，却没有考虑到用户不该修改随后的程序。 Pontus Johnson 补充道：“抛开历史意义不谈，我们还是可以深入讲解这一最简单计算机概念的脆弱性倾向”。 然而 UTM 的“安全性”取决于一位数字，它被用来告诉机器“用户输入到此为止，之后的所有内容，都可适用机器刚刚读取的参数来执行“。 尽管 Marvin L. Minsky 没有打造安全或易受攻击的系统的意图，但计算机科学家们显然还是喜欢从基础学术原理下手论证。 验证攻击的方法也很是简单，只需在用户输入字段中编入‘输入在此结束’字符，然后补上自己想要执行的程序即可。 届时 UTM 会执行该操作，并跳过原本预期的后续程序。如果将复杂性扩大一些，你会发现它甚至具备了 SQL 注入漏洞的所有特征。 综上所述，对于硬件和固件设计人员来说，最好还是从一开始就考虑到各项安全措施的部署。感兴趣的朋友，可查阅 CVE-2021-32471 的更多细节。   （消息及封面来源：cnBeta）

知名网络安全研究人员Mathy Vanhoef发表一系列Wi-Fi设备安全漏洞，这些漏洞被统称为FragAttacks，是碎片（Fragmentation）以及聚合攻击（Aggregation Attacks）的组合字，全球Wi-Fi设备无一幸免，连最新的WPA3规范都存在设计缺陷。位在受害者无线电范围内的攻击者，可以利用FragAttacks漏洞窃取用户信息并且攻击设备。 FragAttacks一系列的漏洞其中3个来自Wi-Fi标准中的设计缺陷，所以大多数的设备都受到影响，而更重要的是，Mathy Vanhoef还发现了一些漏洞，这些漏洞是由Wi-Fi产品中普遍存在的程序错误引起。经证实，每个Wi-Fi产品都至少受一个FragAttacks漏洞影响，并且绝大多数的产品都存在多个漏洞。 这些漏洞影响所有Wi-Fi的安全协议，包括最新的WPA3规范，甚至是Wi-Fi最初的安全协定WEP都在影响范围中，也就是说，从1997年Wi-Fi发布一样，这些设计缺陷已经成为Wi-Fi的一部分。值得庆幸的是，设计缺陷难以被黑客利用，Mathy Vanhoef提到，因为这些设计缺陷必须要有用户参与，才有可能被滥用，又或是只有在使用不常见的网络配置时，才有可能被实现。 因此FragAttacks漏洞最大的隐忧，还是在Wi-Fi产品的程序错误，其中几个漏洞可轻易地被恶意攻击者利用。 FragAttacks漏洞包括了一个明文注入漏洞，恶意攻击者可以滥用实作缺陷，将一些恶意内容注入到受保护的Wi-Fi网络中，尤其是攻击者可以注入一个精心建构的未加密Wi-Fi讯框（Frame），像是透过诱使客户端使用恶意DNS服务器，以拦截用户的流量，或是路由器，也可能被滥用来绕过NAT或防火墙，进而使攻击者之后可以攻击本地端中的Wi-Fi设备。 另外还有一些实作漏洞，例如即便发送者未通过身分验证，部分路由器也会将交握讯框发送给另一个客户端，这个漏洞让攻击者不需要用户交握，即可执行聚合攻击注入任意讯框。还有一个极为常见的实作错误，便是接收者不检查所有片段是否属于同一讯框，这代表攻击者可以混和两个不同讯框的片段，来伪造讯框。 即便部分设备不支持分段或是聚合功能，但是仍然容易受到攻击，因为这些设备会将分段的讯框，当做完整的讯框进行处理，在部分情况这可能会被滥用来注入数据封包。 Mathy Vanhoef表示，发现这些漏洞很让人惊讶，因为在过去几年中，Wi-Fi的安全性实际上应该获得改善。过去Mathy Vanhoef团队所发现的KRACK攻击，其后来加入的防御机制已经被证明其安全性，而且最新的WPA3安全规范也获得安全性改进，但是本来可以被用来防止新发现的设计缺陷之一的功能，并未在实践中实际被采用，而另外两个设计缺陷则是在先前未被广泛研究的Wi-Fi功能中被发现。 因此Mathy Vanhoef也强调，即便是最著名的安全协议，都要仔细进行分析，定期测试Wi-Fi产品的安全漏洞也是非常重要的工作。为了保护广大的用户，安全更新工作已经进行了9个月，现在才对外揭露漏洞信息，漏洞修补工作由Wi-Fi联盟和ICASI进行监督，MathyVanhoef提到，当设备还没接收到关于FragAttacks漏洞的安全更新，用户要确保网站使用HTTPS协议，并且尽可能安装所有可用的更新，以缓解部分攻击。   （消息及封面来源：cnBeta）

Adobe在周二发布了一系列补丁，包含12个不同应用程序的安全更新。其中一个最常见应用程序，即Adobe Reader的漏洞目前正被积极利用。据Adobe称，Adobe Acrobat和Reader的其中一个漏洞CVE-2021-28550已经在外部被利用，对Windows设备上的Adobe Reader进行了有限的攻击。 Adobe Experience Manager、Adobe InDesign、Adobe InCopy、Adobe Genuine Service、Adobe Illustrator、Adobe Acrobat和Reader、Magento、Adobe Creative Cloud Desktop Application、Adobe Media Encoder、Adobe After Effects、Adobe Medium和Adobe Animate等应用都已更新。 其中CVE-2021-28550是Windows中的一个远程代码执行漏洞，允许攻击者运行几乎任何命令，包括恶意软件安装和接管计算机。 Adobe Acrobat和Reader被修补了十个关键和四个重要的缺陷，其次是Adobe Illustrator的五个关键缺陷（CVE-2021-2101-CVE-2021-21105）。后者可能导致在当前用户的上下文中执行任意代码。Fortinet公司FortiGuard实验室的Kushal Arvind Shah报告了三个漏洞。 总共有43个漏洞被修复，其中不包括Adobe Experience Manager的依赖性更新。 在今天发布的所有Adobe安全更新中，Adobe Acrobat & Reader的漏洞最多的，足足有14个修复工作要做。 如果你正在使用Adobe产品，那么你应该尽快更新，否则这些漏洞可能会成为计算机被攻击的潜在入口。鉴于Adobe Acrobat & Reader CVE-2021-28550漏洞已被用于主动攻击，因此越早安装更新越好。 在大多数情况下，你可以使用产品的自动更新功能来更新软件。或者，你也可以通过Adobe Creative Cloud检查更新。完整的更新安装程序可以从Adobe的下载中心下载。 一般来说，当检测到补丁时，产品会自动更新，不需要任何用户干预。再有，如果新的更新没有通过自动更新获得，你可以在安全公告中找到最新的下载链接。   （消息及封面来源：cnBeta）    

此前为了一个处心积虑的 Linux 安全研究项目，两名 UMN 研究人员故意向 Linux 内核插入了有后门漏洞的补丁。事件曝光后，其立即遭到了 Linux 及安全社区的炮轰。最新消息是，由顶级 Linux 内核开发人员组成的 Linux 基金会技术咨询委员会，刚刚发布了针对明尼苏达大学“Hypocrite Commits”补丁的全面审查报告。 作为一名受人尊敬的 Linux 稳定版内核维护贡献者，Greg Kroah-Hartman 希望对 UMN 漏洞植入事件展开彻底调查，且临时禁止了任何与 UMN 有关的提交。 不过随着调查结果的公布，我们通过 Linux 内核邮件公告列表（LKML）知悉，Linux 基金会技术咨询委员会（TAB）领导的高级志愿 Linux 内核维护和开发人员团队，已经正式完成了相关代码的审查。 据悉，与 UMN 相关的 435 项提交已被重新审核。尽管绝大多数内容都没有问题，但仍有 39 项被认为需要进一步的修复。 其中 25 项已通过后续提交修复，另有 12 项不再重要。此外 9 项提交早于争议事件发生，还有 1 项已应提交人的要求而被删除。 最终认定 UMN 研究人员向 LKML 提交了 5 项故意破坏的更改，这些更改源于两个伪造的提交者身份。 然而此举与公认的 Linux 内核代码贡献准侧背道而驰，且校方似乎允许研究人员在特殊情况下使用伪造的认证开发者身份。 尽管没有曝出新发现的攻击，但此事还是迫使 Linux 内核开发人员对大量代码展开重新审查。 正如 Kroah-Hartman 所述，就算影响再小，他们都不允许故意在 Linux 内核中植入后门漏洞。 庆幸的是，针对 Linux 基金会技术咨询委员会提出的大多数请求，UMN 方面都给予了积极的回应，且后续向 Linux 社区全面披露了有关 Hypocrite Commits 项目是如何开展的细节。 最后，虽然此事造成了双方信任度的崩塌，但展望未来，只要 UMN 能够切实有效地提供帮助，Linux 社区还是希望再次与该校及其研究人员恢复合作的。   （消息及封面来源：cnBeta）

戴尔固件更新驱动中发现了重大漏洞，能够让攻击者配合其他漏洞来访问内核级别的代码。虽然这些漏洞本身并不存在允许远程代码执行的风险，但它仍然是一个重大问题，最近 10 年内推出的数百万台戴尔设备均受到影响。 去年 12 月，研究公司 SentinelLabs 就向戴尔报告了这个漏洞，并发布了包含所有信息的详细博客。此外，来自 Crowdstike 的 Alex Ionescu 说，“3 家独立的公司花了 2 年时间”，才将修复措施落实到位。 该研究公司指出，戴尔分配的一个CVE中存在五个缺陷，其中包括两个内存损坏问题，两个缺乏输入验证的问题，以及一个可能导致DDoS（拒绝服务）攻击的代码逻辑问题。问题存在于 “dbutil_2_3.sys “驱动程序中，该驱动程序用于戴尔和 Alienware系统的多个固件更新工具，包括用于BIOS更新。这些问题在CVE-2021-21551下被追踪。 戴尔已经针对该漏洞发布了安全公告（DSA-2021-088），并为Windows提供了更新包，可以从这里手动下载。另外，固件驱动程序也将通过各种戴尔通知系统提供，这些系统将从 5 月 10 日开始在 Windows 10 设备上提供自动更新。然而，运行 Windows 7 和 8.1 尚处于支持状态的 PC 将在 7 月 31 日才收到它们。 该公司已建议客户和企业采取一些步骤，以减轻缺陷带来的风险。这包括从电脑中删除 “dbutil_2_3.sys “驱动程序，并手动更新驱动程序，或等待自动下载带有更新驱动程序的更新工具。要删除有问题的驱动程序，该公司推荐这两个选项中的一个。 方案 1（推荐）。下载并运行戴尔安全咨询更新 – DSA-2021-088工具。 方案 2：手动删除有漏洞的dbutil_2_3.sys驱动程序。 步骤A：检查以下位置的dbutil_2_3.sys驱动文件 C:\Users\AppData\Local\Temp C:\Windows\Temp 步骤B：选择dbutil_2_3.sys文件，并按住SHIFT键，同时按DELETE键永久删除。     （消息及封面来源：cnBeta）

居家健身品牌 Pelonton 以室内固定式自行车和跑步机而被人们所熟知，但近日却曝出了 300 万订阅用户个人资料可能失窃的一个严重漏洞。即使你将个人资料设置为私密，且没有任何好友，Pelonton 应用程序接口（API）的这个安全漏洞，还是允许任何人获取用户的私人账户数据。 Peloton 的客户群里有许多名人，甚至连美国现总统拜登也有一台。在售价 1800 美元的动感单车的基础上，该公司还提供了丰富的订阅选项，其中包括了各种各样的课程。 然而 Pen Test Partners 安全研究员 Jan Masters 发现，他竟然能够在未经身份验证的情况下，向 Peloton 的官方 API 提出可获取其它用户私人数据的请求，且用户的本地设备和云端服务器都如此不设防。 这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据，甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。 遗憾的是，尽管早在 2021 年 1 月 20 日就向 Peloton 通报了这个 API 漏洞，但该公司还是未能在 90 条的标准期限内完成 bug 修复。 除了最初收到的一封确认函，该公司后续的态度也相当消极，只将 API 访问权限设置为仅会员可用。对于攻击者来说，依然能够通过注册月度会员的形式，访问到其他人的各种私密信息。 庆幸的是，在漏洞曝光的压力下，Peloton 终于在近日完成了该漏洞的修复，同时回应称很难向安全人员介绍详细的补救措施。 展望未来，该公司将更积极地与安全研究社区合作，以在收到漏洞报告时作出更快的响应。     （消息及封面来源：cnBeta）

隐私分析公司AppCensus周二披露，谷歌和苹果的COVID-19暴露通知应用程序的Android版本有一个隐私缺陷，让其他预装应用程序有可能看到敏感数据，包括某人是否曾与COVID-19检测呈阳性的人接触过。谷歌接到消息后回应称正在准备对该漏洞的修复。 这个漏洞违背了谷歌首席执行官桑达尔-皮查伊、苹果首席执行官蒂姆·库克和许多公共卫生官员的多次承诺，即暴露通知程序收集的数据不能在个人设备之外共享。 据The Markup报道，AppCensus在2月份首次向谷歌报告了这个漏洞，但该公司未能解决这个问题。AppCensus的联合创始人兼取证负责人Joel Reardon告诉The Markup，修复这个问题就像删除几行非必要的代码一样简单。”Reardon说：”明明有很简单的修复方法，我很惊讶他们没有这么做。” 谷歌发言人José Castañeda在给The Markup的一份电子邮件声明中说：”我们被告知一个问题，即蓝牙标识符暂时可以被特定的系统级应用程序用于调试目的，我们立即开始推出一个解决方案来解决这个问题。” 曝光通知系统的工作原理是在用户的手机和其他激活了该系统的手机之间ping出匿名的蓝牙信号。然后，如果有人使用该应用程序对COVID-19检测呈阳性，他们可以与卫生部门合作，向任何有相应信号记录在手机内存中的手机发送警报。 在Android手机上，追踪数据被记录在特权系统内存中，手机上运行的大多数软件都无法访问。但是，制造商预装的应用程序有特殊的系统权限，可以让它们访问这些日志，从而使敏感的联系人追踪数据处于危险之中。但是，目前没有迹象表明任何应用程序实际收集了这些数据。 预装的应用程序以前曾利用过它们的特殊权限，有调查显示，它们有时会收集地理位置信息和手机联系人等数据，但该分析报告没有发现iPhone上的曝光通知系统有任何类似的问题。 AppCensus的首席技术官Serge Egelman在Twitter上发表的一份声明中说，这个问题是一个实施上的问题，而不是曝光通知框架所固有的bug，但它不应该削弱对公共卫生技术的信任。我们希望带来的教训是，正确处理隐私问题真的很难，系统中的漏洞总是会被发现，但共同努力补救这些问题符合所有人的利益。”   （消息及封面来源：cnBeta）

本月早些时候，有人在黑客论坛上放出了一个拥有 5.3 亿 Facebook 用户个人信息的数据集。随后该公司承认存在本次数据泄漏，但表示不会通知在该漏洞中受到影响的用户。 虽然 Facebook 表示已经修复了之前允许黑客从该社交平台上刮取数据的漏洞，不过一名安全研究人员发现了另一个漏洞。该漏洞允许黑客从 Facebook 上刮取电子邮件地址。 在与 Motherboard 分享的一段视频中，该人士指出 如果用户将其隐私设置为“Only Me”以外的其他选项，那么用于利用该漏洞的工具就可以刮取电子邮件地址。此外，该人士还指出，该漏洞已经被报告给了 Facebook，但他们并没有修复。 作为回应，Facebook 试图将其定位为小事件，也承认该漏洞尚未得到修复： 看来，我们在将该漏洞赏金报告转给相关团队之前，错误地关闭了该报告。我们感谢研究人员分享信息，并正在采取初步行动来缓解这个问题，同时我们也在跟进以更好地了解他们的发现。 安全研究员和网络安全情报公司Hudson Rock的首席技术官Alon Gal分享了有关该漏洞的更多信息，包括一个概念验证视频，显示如何从 Facebook 上提取用户的电子邮件地址。   （消息及封面来源：cnBeta）

通过和 JSOF Research 合作，网络安全公司 Forescout Research Labs 在披露了威胁全球上亿台设备的高危漏洞–NAME:WRECK。这是影响 4 个主流 TCP/IP 堆栈（FreeBSD，Nucleus NET，IPnet 和 NetX）的 9 个漏洞组合，对域名系统（DNS）实现有关，会导致拒绝服务(DoS)或远程代码执行(RCE)，允许攻击者控制或者宕机目标设备。 这些漏洞影响的TCP/IP堆栈包括但不限于： FreeBSD（影响版本：12.1）-BSD系列中最流行的操作系统之一。 IPnet（影响版本：VxWorks 6.6）-最初由Interpeak开发，现在由WindRiver维护，并由VxWorks实时操作系统（RTOS）使用。 NetX（影响版本：6.0.1）-ThreadX RTOS的一部分，现在是Microsoft维护的一个开源项目，名称为Azure RTOS NetX。 Nucleus NET（影响版本：4.3）-由西门子业务MentorGraphics维护的Nucleus RTOS的一部分，用于医疗、工业、消费类、航空航天和物联网设备。 攻击者可以利用NAME：WRECK漏洞窃取敏感数据、修改或使设备脱机以对制造行业中的政府或企业服务器、医疗机构、零售商或公司造成重大安全事故。攻击者还可以利用这些漏洞篡改住宅或商业场所的智能设备，以控制供暖和通风、禁用安全系统或篡改自动照明系统。   这些漏洞的细节将会在今年 5 月第 1 周召开的信息安全会议 Black Hat Asia 2021 上介绍。根据 Forescout 的研究人员的说法，医疗保健和政府组织是最容易受到所有三个 TCP/IP 堆栈的影响。不祥的是，Forescout 的粗略估计显示，多达 1 亿台或更多的设备可能受到 NAME:WRECK 的影响。 要完全防止这些易受攻击的TCP/IP堆栈版本，需要对设备打补丁，而在报告认为这并不太可能实现，有时甚至是困难的。这是因为所需的努力可能会发生 “巨大的变化”，这取决于有关设备是标准的 IT 服务器还是物联网设备。     （消息及封面来源：cnBeta）

美国休斯敦的一家法院已经授权 FBI 展开行动，从美国数百台微软 Exchange 电子邮件服务器中“复制并删除”后门。在几个月前，黑客利用 4 个此前尚未被发现的漏洞攻击了数千个网络。美国司法部本周二宣布了这次活动，并表示这项活动是“成功”。 今年 3 月，黑客组织 Hafnium 利用 4 个漏洞链成功入侵了 Exchange 服务器，并窃取了存储在服务器上的内容。微软虽然修复了这些漏洞，但补丁并没有关闭已经被入侵的服务器的后门。几天之内，其他黑客组织开始用同样的漏洞打击脆弱的服务器，部署勒索软件。 司法部在一份声明中表示：“随着补丁的应用，受感染的服务器数量有所下降。但数百台Exchange服务器仍然脆弱，因为后门很难找到并消除。这次行动删除了一个早期黑客组织剩余的网络外壳，这些外壳可能被用来维持和升级对美国网络的持续、未经授权的访问。FBI进行删除的方式是通过web shell向服务器发出命令，该命令旨在使服务器只删除web shell（由其唯一的文件路径识别）”。 FBI表示，它正试图通过电子邮件通知从其删除后门的服务器的所有者。助理司法部长John C. Demers 说，这次行动“表明司法部致力于利用我们所有的法律工具，而不仅仅是起诉，来破坏黑客活动”。   （消息及封面来源：cnBeta）