2019年04月17日，国家信息安全漏洞共享平台（CNVD）官方发布安全公告 http://www.cnvd.org.cn/webinfo/show/4989称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞，攻击者可利用该漏洞在未授权的情况下远程执行命令。 随后知道创宇404实验室启动应急流程，通过分析后复现了该漏洞并确定该漏洞影响启用了wls9_async_response.war及wls-wsat.war组件的所有Weblogic版本(包括最新版本)，到本预警发布时，官方仍然没有发布对应修复补丁，属于“0day安全”漏洞。 值得注意的是，知道创宇旗下创宇盾监控发现，该漏洞最早在4月17日存在漏洞扫描痕迹，另外从知道创宇ZoomEye网络空间搜索引擎总共检索到100671条历史数据，其中中国30,600条 主要分布在北京、广东、上海等省市。 由此知道创宇404实验室发出紧急漏洞预警，建议所有使用Oracle WebLogic的用户引起重视，注意防范。目前经过确认，知道创宇旗下云安全防御产品“创宇盾”无需升级即可防御该漏洞。临时解决方案： 方案1：找到并删除wls9_async_response.war、wls-wsat.war 并重启Weblogic服务 方案2：通过访问策略控制禁止 /_async/* 及 /wls-wsat/* （注意） 路径的URL访问。 方案3：启用部署“创宇盾”（https://www.yunaq.com/cyd/） 知道创宇404实验室后续将发布更多漏洞细节和漏洞应急方案，敬请关注。  知道创宇404实验室，是国内黑客文化深厚的网络安全公司知道创宇最神秘和核心的部门，在知道创宇CSO、404实验室负责人周景平（黑哥）的带领下，知道创宇404实验室长期致力于Web、IoT、工控、区块链等领域内安全漏洞挖掘、攻防技术的研究工作，团队曾多次向国内外多家知名厂商如微软、苹果、Adobe、腾讯、阿里、百度等提交漏洞研究成果，并协助修复安全漏洞，多次获得相关致谢，在业内享有极高的声誉。

前两周发布的 jQuery 3.4.0 除了常规更新外，更重要的是修复了一个称为“原型污染（prototype pollution）”的罕见安全漏洞。 什么是原型污染？顾名思义，原型污染就是指攻击者通过某种手段修改 JavaScript 对象的 prototype。 JavaScript 对象就跟变量一样，但它不是存储一个值（var car =“Fiat”），而是可以包含基于预定义结构的多个值 (var car ={type:”Fiat”, model:”500″, color:”white”})。 prototype 定义了 JavaScript 对象的默认结构和默认值，因此在没有为对象赋值时应用程序也不会崩溃。 但如果攻击者从 JavaScript 对象的 prototype 入手，攻击者可通过将其控制的 prototype 注入对象，然后通过触发 JavaScript 异常导致拒绝服务（denial of service），或者篡改应用程序源代码以注入攻击者的代码路径。最终的结果可能就是导致应用程序崩溃或劫持应用程序。 Snyk 团队详细描述了这个新的 jQuery “原型污染”漏洞，其中包含攻击原理和规避方法。“原型污染攻击(CVE-2019-11358)”的概念验证代码点此查看。 虽然漏洞比较严重，但好在“原型污染”攻击并不能被大规模利用，因为每段攻击代码必须针对每个目标进行微调。此外，大部分网站并不使用 jQuery 进行重要的操作，主要是用于操作动画中的菜单或创建弹窗等。 最后，如果担心安全问题，建议升级至最新版本 jQuery 3.4.0，毕竟目前大多数网站仍在使用 jQuery 的 1.x 和 2.x 分支，这意味着绝大多数基于 jQuery 的应用程序和网站仍有可能遭受攻击。   （稿源：开源中国，封面源自网络。）

OpenSSH 8.0 发布了，此版本缓解了 scp(1) 工具和协议漏洞 CVE-2019-6111，该漏洞此前我们之前报导过：知名文件传输协议 SCP 被曝存在 35 年历史的安全漏洞。 将文件从远程系统复制到本地目录时，SCP 客户端无法验证 SCP 服务器返回的对象是否与请求的东西一致，这使得攻击者可以使用恶意服务器控制的内容创建或破坏本地文件。 OpenSSH 8.0 的缓解措施添加了客户端检查，查看从服务器发送的文件名与命令行请求是否匹配。 SCP 协议已经过时，不灵活且不易修复，OpenSSH 官方建议使用更现代的协议进行文件传输，如 sftp 和 rsync。 此版本新特性包括： ssh(1)、ssh-agent(1)、ssh-add(1)：PKCS#11 token 中添加对 ECDSA 密钥的支持。 ssh(1)、sshd(8)：基于 Streamlined NTRU Prime 4591^761 和 X25519 的组合，添加实验性量子计算抗性密钥交换方法。 ssh-keygen(1)：将默认 RSA 密钥大小增加到 3072 位。 ssh(1)：允许“PKCS11Provider = none”覆盖 ssh_config 中 PKCS11Provider 指令的后续实例。 ssh(1)：提示是否录制新主机密钥时，输入密钥指纹作为“yes”。 ssh-keygen(1)：在单个命令行调用上签名多个证书时，允许自动递增证书序列号。 scp(1)、sftp(1)：接受 -J 选项作为 scp 和 sftp 命令行上 ProxyJump 的别名。 ssh-agent(1)、ssh-pkcs11-helper(8)、ssh-add(1)：接受“-v”命令行标志以增加输出的详细程度；将详细标志传递给子进程，例如从 ssh-agent 启动的 ssh-pkcs11-helper。 ssh-add(1)：添加“-T”选项以允许通过执行签名和验证来测试代理中的密钥是否可用。 sshd(8)：在 PAM 环境中暴露 $SSH_CONNECTION。 完整更新内容查看更新日志： http://www.openssh.com/txt/release-8.0   （稿源：开源中国，封面源自网络。）

据美国科技媒体TechCrunch报道，EA已经修复了在线游戏平台Origin上的一个漏洞。在此之前，研究人员发现该漏洞可能导致玩家在电脑上远程运行恶意代码。 安装了Origin应用的Windows用户都会受此影响。有数千万用户使用Origin应用来购买、获取或下载游戏。为了方便用户通过网页访问具体的游戏商店，该客户端拥有自己的URL机制，可以让玩家通过点击origin://这样的链接来打开应用和加载游戏。 但Underdog Security的两位安全专家却发现，这款应用可以被用于在被害者的电脑上运行恶意程序。研究人员提供了概念验证代码进行演示。这段代码获得跟登录用户相同的权限，从而运行任何应用。这段概念验证代码演示了如何启动系统自带的计算器。 但更糟糕的是，黑客还可以发送恶意的PowerShell指令，黑客经常利用这种手段来下载恶意组件和安装勒索软件。 研究人员表示，恶意链接可以通过电子邮件方式发送，也可以在网页上列出。如果恶意代码与浏览器中自动运行的跨站脚本配合，还可以自动触发。 黑客只需要一行代码即可在无需密码的情况下访问用户帐号。 Origin的macOS客户端不会受此影响。 EA发言人证实已经修复这项漏洞。   （稿源：，稿件以及封面源自网络。）

被曝含 0day 漏洞的插件是 Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer，目前这两个插件已下架，开发人员建议用户尽快将涉及插件移除。 近日，有安全研究人员连续在 Plugin Vulnerabilities 平台上，对外公布了 3 个 WordPress 外挂程式的 0day 漏洞，将 10 万个 WordPress 网站于陷于安全风险中。相关研究人员在公布这些漏洞时，提到他们只是为了抗议 WordPress 支持论坛版（WordPress Support Forum）的版主行为。只要版主停止不当行为，他们会立即终止对外揭露 0day 漏洞。 被揭露漏洞的 3 个 WordPress 插件分别是 Social Warfare、Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer。其中，Warfare 是个社交网站分享插件，有超过 6 万个 WordPress 网站安装了该插件。研究人员在 3 周前公布了 Social Warfare 的安全漏洞，插件开发人员即时将它修补了。 另外两个插件就没这么幸运了。可用来自动找出相关文章的 Yuzo Related Posts 原本拥有 6 万个安装数量，可自定义主题的 Yellow Pencil Visual Theme Customizer 则有 3 万个安装数量，这两个插件都都惹来了攻击，目前已在 WordPress 插件商店下架，插件开发人员还建议用户应尽快将所安装的版本移除。 据了解，原本安全人员在公开漏洞前，会给开发者一定的缓冲时间。而这次漏洞曝光，研究人员故意不遵循责任揭露，直接对外公开这些 WordPress 插件漏洞。他们声称目的是为了抗议 WordPress 支持论坛版主的不当行为。这些版主明知有些热门插件含有漏洞，却未通知相关的开发人员。版主们甚至会联手隐瞒插件的安全问题，为了推广特定安全服务而阻拦用户得到其它帮助。 这次漏洞接连曝光事件，看起来很像是 Plugin Vulnerabilities 平台与 WordPress 支持论坛之间的恩怨而引发的。前者不仅是为 WordPress 打造，定位更是专门对抗 WordPress 插件漏洞的服务。但不论如何，原本应该是维护 WordPress 安全的事件，目前却已危及到了众多 WordPress 网站的安全。   （稿源：开源中国，封面源自网络。）

卡巴斯基实验室在安全公告中称，其安全研究人员在 win32k.sys 中又发现了一个新的零日漏洞，代号为 CVE-2019-0859 。2019 年 3 月，卡巴斯基的自动化漏洞利用防护（EP）系统检测到了对微软 Windows 操作系统中的漏洞尝试。但在进一步分析后，他们发现 win32k.sys 中确实存在新的零日漏洞，而且这是实验室最近几月内第五次发现被利用的本地提权漏洞。 Win7 SP1 x64 上的 win32k!xxxFreeWindow+0x1344 弹窗（图自：Kaspersky Lab） 2019 年 3 月 17 日，卡巴斯基实验室向微软提交了漏洞报告，该公司确认了该漏洞，并分配了 CVE-2019-0859 这个编号。 万幸的是，微软已经为该漏洞发布了一个补丁，并通过 Windows Update 进行了推送。 卡巴斯基实验室称，功劳簿上有 Vasiliy Berdnikov 和 Boris Larin 这两位安全研究人员的名字。 至于 CVE-2019-0859 漏洞的技术细节，主要是 CreateWindowEx 函数中隐含的 Use-After-Free 漏洞。 执行期间，CreateWindowEx 会在首次创建时，将 WM_NCCREATE 消息发送到窗口。 借助 SetWindowsHookEx 函数，可在窗口调用过程之前，设置处理 WM_NCCREATE 消息的自定义回调。 然而在 win32k.sys 中，所有窗口都由 tagWND 结构呈现，其具有“fnid”字段（亦称 Function ID）。 该字段用于定义窗口的类，所有窗口分为 ScrollBar、Menu、Desktop 等部分，此前卡巴斯基已经分享过与我们已经写过与 Function ID 相关的 bug 。 在 WM_NCCREATE 回调期间，窗口的 Function ID 被设置为 0，使得我们能够钩子内部为窗口设置额外数据，更重要的是 Hook 后立即执行的窗口过程的地址。 将窗口过程更改为菜单窗口过程，会导致执行 xxxMenuWindowProc，且该函数会将 Function ID 启动到 FNID_MENU（因为当前消息等于 WM_NCCREATE）。 在将 Function ID 设置为 FNID_MENU 之前操作额外数据的能力，可强制 xxxMenuWindowProc 函数停止菜单的初始化、并返回 FALSE 。 因此发送 NCCREATE 消息将被视为失败的操作，CreateWindowEx 函数将通过调用 FreeWindow 来停止执行。 卡巴斯基实验室发现，野外已经有针对 64-bit 版本的 Windows 操作系统的攻击（从 Windows 7 到 Windows 10），其利用了众所周知的 HMValidateHandle 漏洞来绕过 ASLR 。 成功利用后，漏洞会借助 Base64 编码命令来执行 PowerShell，主要目的是从 https // pastebin.com 下载执行二、三阶段的脚本。 其中三阶段脚本的内容很是简洁明了 —— 捷豹 shellcode、分配可执行内存、将 shellcode 复制到已分配的内存、以及调用 CreateThread 来执行 shellcode 。 shellcode 的主要目标，是制作一个简单的 HTTP 反向 shell，以便攻击者完全控制受害者的系统。     （稿源：cnBeta，封面源自网络。）

是否公开发布安全漏洞（尤其是零日漏洞）的概念验证（PoC）代码历来是备受争议的话题。在代码公开之后往往会被威胁攻击者所利用，在数天乃至数小时内发起攻击，导致终端用户没有充足的时间来修复受影响的系统。而公开这些PoC代码的并非坏人或者其他独立来源，而是理论上更应该保护用户的白帽安全研究人员。 围绕着这个争议做法的话题已经持续多年时间，而信息安全领域的专家分成两派。其中一方认为安全研究人员不应该发布PoC代码，因为攻击者可以采用该代码并自动化攻击；而另一方认为PoC代码同时是测试大型网络和识别存在漏洞系统所必须的，允许IT部门成员模拟未来可能遭受到的攻击。 在上个月发布的“网络安全威胁观2018年第四季度”报告中，Positive Technologies的安全专家再次触及了这场长期争论。 在这份报告中，Positive Technologies的安全专家并没有给这个争论下判断，而是客观陈述了当前用户面临的安全问题。在漏洞发现的新闻曝光或者零日漏洞的PoC代码公开之后，在两种情况下黑客并没有为用户提供充足的时间来修复系统。 在这份季度威胁报告中，Positive Technologies表示这种情况发生的频率越来越多。在报告中通过罗列了一系列安全事件，表明在PoC代码公开之后会立即被黑客所利用。例如在推特上有安全专家公开了Windows系统零日漏洞的PoC代码，随后ESET安全专家就观测到了此类恶意软件活动。例如在网络上关于中文PHP框架的漏洞公开之后，数百万网站立即遭到了攻击。 在接受外媒ZDNet采访时候，Positive Technologies的安全弹性负责人Leigh-Anne Galloway表示：“作为安全行业的一员，我们有责任倡导漏洞公示守则。但是并非所有人都遵循这个原则。同样并非所有安全供应商都知道或者了解。” 他表示： 通常公开披露的驱动因素是因为供应商没有认识到问题的严重性，也没有解决漏洞。或者安全研究人员可能已经尝试了所有其他途径来传达他们的发现。当然，危险的是犯罪分子可能使用此信息来攻击受害者。供应商要求提供证据证明该漏洞实际存在于他们的产品中，并且当研究人员向他们报告漏洞时可以利用这些漏洞。研究人员需要证明它是如何被利用的，为此创建了PoC代码。” 通过CVSS系统来标记该漏洞的危险程度。如果供应商向研究人员支付漏洞奖励框架内发现的漏洞，研究人员会从这项工作中赚钱，但供应商通常不会安排他们的bug-bounty计划，研究人员可以从中得到的所有内容都是专家社区的公开认可。通过在互联网上演示漏洞，展示操作和PoC代码的一个例子，研究人员得到了认可和尊重。 通常情况下，研究人员只有在他们通知供应商有关漏洞的足够长时间后才会发布漏洞利用代码，从而使产品开发人员有机会关闭漏洞并通知用户需要安装升级。但是，很多时候，供应商会推迟发布补丁和更新，有时会延迟六个月以上，因此，在发布补丁之后，[PoC]漏洞的公示就会发生。     （稿源：cnBeta，封面源自网络。）

近日安全专家在IE 11浏览器上发现了全新漏洞，在处理.MHT已保存页面的时候能够让黑客窃取PC上的文件。更为重要的是.MHT文件格式的默认处理应用程序是IE 11浏览器，因此即使将Chrome作为默认网页浏览器这个尚未修复的漏洞依然有效。 该漏洞是由John Page率先发现的，只需要用户双击.MHT文件IE浏览器中存在的XXE (XML eXternal Entity)漏洞可以绕过IE浏览器的保护来激活ActiveX模块。 研究人员表示：“通常情况下，在IE浏览器中实例化‘Microsoft.XMLHTTP’这样的ActiveX对象的时候会跳出安全警示栏，以提示启用了被阻止的内容。但是使用恶意的<xml>标记来打开特制的.MHT文件时候，用户将不会收到此类活动内容或安全栏警告。” 该漏洞是钓鱼网络攻击的理想选择，通过电子邮件或者社交网络传播后可以让恶意攻击者窃取文件或者信息。Page表示：“这允许远程攻击者窃取本地文件，并且对已经感染的设备进行远程侦查。”不幸的是，目前微软还没有计划解决这个问题，微软反馈称：“我们确定在此产品或服务的未来版本中将考虑修复此问题。目前，我们不会持续更新此问题的修复程序状态，我们已关闭此案例。” 据悉该漏洞适用于Windows 7/8.1/10系统。在微软正式修复IE 11浏览器上的漏洞之前，推荐用户尤其是企业用户尽量减少通过IE 11浏览器下载和点击不明文件。   （稿源：cnBeta，封面源自网络。）

两位安全研究人员今天披露了一组漏洞，这些漏洞统称为Dragonblood，影响了WiFi联盟最近发布的WPA3 Wi-Fi安全和认证标准。如果被利用，漏洞将允许在受害者网络范围内的攻击者获得Wi-Fi密码并渗透目标网络。 Dragonblood漏洞组总共有五个漏洞，包括一个拒绝服务攻击漏洞、两个降级攻击漏洞和两个侧通道信息泄漏漏洞。尽管拒绝服务攻击漏洞并不重要，因为它只会导致与WPA3兼容的访问点崩溃，但其他四个攻击可以用于获得用户密码。 两个降级攻击和两个侧通道泄漏漏洞都利用了WPA3标准Dragonfly密钥交换中的设计缺陷，即客户端在WPA3路由器或接入点上进行身份验证的机制。 在降级攻击中，支持WiFi WPA3的网络可以诱导设备使用更旧、更不安全的密码交换系统，从而允许攻击者使用旧的漏洞检索网络密码。 在侧通道信息泄漏攻击中，支持WiFi WPA3的网络可以欺骗设备使用较弱的算法，这些算法会泄漏少量有关网络密码的信息。通过反复的攻击，最终可以恢复完整的密码。     （稿源：cnBeta，封面源自网络。）

近期在互联网媒体上流传 PostgreSQL 存在任意代码执行的漏洞： 拥有‘pg_read_server_files’权限的攻击者可利用此漏洞获取超级用户权限，执行任意系统命令。 针对此言论，PostgreSQL 官方在2019年4月4日发表声明如下： 互联网媒体上报导的有关 PostgreSQL 方面的安全漏洞 CVE-2019-9193，PostgreSQL 安全团队强调这不是一个安全漏洞， 我们认为创建这个 CVE-2019-9193 就是个错误，而且已经和 CVE-2019-9193 的报告者联系，调查为什么会创建这个条目。 COPY .. PROGRAM 功能明确规定，只能被授予超级用户权限、或是默认 pg_execute_server_program 角色的数据库用户来执行。根据设计，此功能允许被授予超级用户或 pg_execute_server_program 的用户作为 PostgreSQL 服务器运行的操作系统用户(通常是“postgres”)执行操作。CVE 中提到的默认角色 pg_read_server_files 和 pg_write_server_files 不会授予数据库用户使用 COPY .. PROGRAM 的权限。 根据设计，数据库超级用户与运行数据库服务所在的操作系统的用户之间不存在不同的安全边界，另外 PostgreSQL 服务器不允许作为操作系统超级用户（例如“root”）运行。PostgreSQL 9.3 中添加的 COPY .. PROGRAM 的功能并未改变上述设计原则，只是在现有的安全边界内添加了一个功能。 我们鼓励 PostgreSQL 的所有用户遵循最佳实践方案，即永远不要向远程用户或其他不受信任的用户授予超级用户的访问权限。这是系统管理中应遵循的安全操作标准，对于数据库管理也需要遵循。 如果您对此有更多疑问，我们诚邀您通过社区官网与工作人员取得联系。 社区公告链接：https://www.postgresql.org/about/news/1935/     （稿源：开源中国，封面源自网络。）