5 月 29 日，360 公司宣布，Vulcan（伏尔甘）团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证，其中部分漏洞可以在 EOS 节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管 EOS 上运行的所有节点。 29 日凌晨，360 已将该类漏洞上报 EOS 官方，并协助其修复安全隐患。在修复这些问题之前，不会将 EOS 网络正式上线。 在攻击中，攻击者会构造并发布包含恶意代码的智能合约，EOS 超级节点将会执行这个恶意合约，并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块，进而导致网络中所有全节点（备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等）被远程控制。 由于已经完全控制了节点的系统，攻击者可以“为所欲为”，如窃取 EOS 超级节点的密钥，控制 EOS 网络的虚拟货币交易；获取 EOS 网络参与节点系统中的其他金融和隐私数据，例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。 更有甚者，攻击者可以将 EOS 网络中的节点变为僵尸网络中的一员，发动网络攻击或变成免费“矿工”，挖取其他数字货币。 EOS 是被称为“区块链3.0”的新型区块链平台，目前其代币市值高达 690 亿人民币，在全球市值排名第五。360 方面称，这类型的安全问题不仅仅影响 EOS，也可能影响其他类型的区块链平台与虚拟货币应用。   稿源：雷锋网，作者：李勤，封面源自网络；

微软周二发布公告称，Office 365将封锁Adobe Flash、Shockwave及Silverlight控件。 由于频频传出安全漏洞，Adobe去年宣布，2020年起不再支持Flash，各大主流浏览器包括Chrome、Safari、Firefox及Edge也都列出停止支持Flash的时间表。 为此，Office 365也做了相应的调整，将开始封锁Flash、Shockwave及Silverlight控件。受到影响的功能包括Office文件嵌入的控制，例如利用Insert object功能，在PowerPoint文件直接嵌入Flash影片或是PowerPoint中使用Silverlight的外挂等，不过使用Insert Online Video功能的控制不受影响。 另外，这项变动仅适用于Office 365，不影响Office 2016、Office 2013或Office 2010。微软将依不同“通道”分阶段实施封锁。每月通道（monthly channel）从今年6月即开始封锁。Office 365半年通道将于2018年9月起启动封锁，而从2019年1月开始，Office 365半年通道也会加入。   稿源：ithome，封面源自网络；

5月22日，腾讯科恩实验室对外发布了宝马多款不同车型上的14个通用安全漏洞，这些漏洞可以通过物理接触和远程无接触等方式触发，据其官方博客透露，目前所有漏洞细节和攻击方法均已得到宝马官方确认。 重点分析汽车暴露在外部的攻击面 据其官方博客介绍，研究始于2017年1月，实验室对多款宝马汽车的车载信息娱乐系统（Head Unit）、车载通讯模块（T-Box）和车载中心网关（Central Gateway）的硬件进行研究后，把重点放在了分析汽车暴露在外部的攻击面（包括GSM网络、BMW远程服务、BMW互联驾驶系统、远程诊断、NGTP协议、蓝牙协议、USB以及OBD-II接口），通过对宝马多款车型的物理接触和远程非接触式攻击，证明可以远程破解车载信息娱乐系统、车载通讯模块等，获取CAN总线的控制权。 目前，科恩实验室已经向宝马报告了漏洞和攻击链的详细细节，并提供了技术分析及相关修复建议。 漏洞攻击链 科恩实验室完成破解车载通讯模块和信息娱乐系统后，经过进一步分析，组合利用这些安全漏洞实现了完整的本地攻击链和远程攻击链。 据介绍，本地和远程攻击链的最终目的都是实现从车载网关向不同 CAN 总线（例如: PT-CAN、K-CAN）发送诊断命令来影响车上的电子控制单元（ECU）, 进而影响车辆功能。 ▲本地攻击链 ▲远程攻击链 影响范围 漏洞主要存在于宝马车载信息娱乐系统（Head Unit）、车载通讯模块（T-Box）和车载中心网关（Central Gateway）三大模块中，基于实验经验，车载信息娱乐系统中的漏洞可以影响宝马多款车型，包括i系、X系、3系、5系、7系等，而车载通讯模块中的漏洞影响自2012年以来的所有搭载该模块的宝马车型。 据悉，所有可以通过蜂窝网络发起的攻击，宝马已于2018年3月开始修复措施，这些措施已在4月中旬通过宝马配置文件更新功能对外推送更新。 其余的安全缓解措施宝马正在研发中，后续会通过可选的软件安全补丁方式，车主可以通过宝马官方维修渠道获取。 关于具体的漏洞细节，科恩实验室计划在2019年正式对外发布包含所有漏洞细节的宝马安全报告。   稿源：雷锋网，封面源自网络；

本周一，英特尔和微软公布了一个 Spectre and Meltdown 安全漏洞的新变体，存在该漏洞的芯片被广泛应用于计算机和移动设备上。 英特尔称该新发现的漏洞为“变体4号”。该公司表示，尽管该最新变体与今年一月份发现的安全漏洞属于同种类型，但它使用了一种不同的获取敏感信息的方法。 Spectre and Meltdown安全漏洞还在继续影响着英特尔、ARM、和AMD等芯片厂商，这些公司生产的计算机和移动设备芯片中大多存在此漏洞。该漏洞使得黑客能读取计算机CPU上的敏感信息，已经在过去二十年内影响了数百万的芯片。尽管类似苹果、微软、英特尔这样的厂商都在发布修补该漏洞的补丁，但有些补丁并不管用，并且还导致计算机出现故障。 黑客们经常在线搜寻各类漏洞，以对存在该漏洞的计算机实施攻击。比如，去年造成严重影响的WannaCry勒索软件攻击就利用的是一个微软已经修补了的漏洞，没有安装系统安全更新的电脑更易受到攻击。 据英特尔发表的一篇博客文章显示，该公司将这个“变体4号”漏洞标记为中级风险，因为与该漏洞有关的浏览器的多个缺陷已经通过首个补丁包解决了。该新变体利用的是“Speculative Store Bypass”，该缺陷能使处理器芯片向潜在的不安全区域泄露敏感信息。 英特尔表示，还没有发现有黑客在利用这个漏洞发起攻击，并将在未来几周内发布修补此漏洞的安全补丁。英特尔主管安全的高级副总裁莱斯利·库尔本森（Leslie Culbertson）在博客文章中提到，将向硬件厂商和软件开发商提供该漏洞的补丁。她表示，这次的补丁更新不会出现以往影响计算机性能的情况了。 在一份由微软公布的安全报告中，该公司称此次发现的漏洞变体可能使得黑客能在浏览器的JavaScript中植入攻击脚本。 来自谷歌Project Zero项目的研究人员首次发现了该漏洞的初始版本，并在今年二月份向英特尔、AMD和ARM公司报告了此漏洞。该团队同样将该变体标记为中等严重风险。   稿源：，稿件以及封面源自网络；

安全研究人员发现，CalAmp（一家为多个知名系统提供后端服务的公司）运营的一台服务器因为错误配置，黑客可借助该漏洞接入账号数据，甚至直接接管相关车辆。 发现该问题时，安全专家 Vangelis Stykas 和 George Lavdanis 正在搜寻 Viper SmartStart 系统中的安全漏洞，这是一款让用户能远程启动、锁闭、解锁或定位车辆的设备，有了它，用户只需操作手机中的应用就能直接完成上述操作。 与其他移动应用类似，这套系统用了 SSL 和证书锁定（Certificate Pinning，已知其服务器用上了硬编码）安全连接来自动拒绝那些提供虚假 SSL 认证连接的网站。 不过两位安全专家指出，该应用不但会连接到 mysmartstart.com 的域名，还会连接第三方域名（https://colt.calamp-ts.com/，即 Calamp.com Lender Outlook 服务）。只要使用 Viper 应用生成的用户凭证，谁都能登陆控制台。 “该控制台看起来是 Calamp.com Lender Outlook 服务的前端，我们试着用 Viper 生成的用户凭证登陆，居然成功了。”安全专家 Stykas 在一篇博文中写道。“显然，这是那些拥有多个子账户和大批车辆需要控制公司的控制台。” 进一步测试后，研究人员确认了一点，那就是这套系统的入口还是安全的。不过，在评估中他们却发现，各种报告其实是来自另一台专用服务器，它负责运行的是 tibco jasperreports 软件。 这还是两位专家第一次分析这种类型的服务器。移除所有参数后，他们发现，自己居然以用户身份登陆了，虽然权限受限，但已经可以接入许多报告了。 “我们不得不运行所有报告，并且发现前端根本就没有审核用户 ID，而是选择自动让其通过。不过，现在我们得从控制台提供 ID 作为输入项。当然，我们可以选择想要的任意数字。” 一番研究后他们发现，自己已经可以接入所有车辆的所有报告了（包括位置记录），而且只要知道了用户名，就能直接接入数据源（密码做了伪装处理，所以无法导出）。同时，借助服务器还能轻松复制和编辑现有报告。 “我们无法创建报告、AdHoc 无线网络或其它项目，不过我们能对现有内容进行复制粘贴和编辑，这也就意味着我们已经大权在握。此外，我们还能在报告中加入任意的 XSS 来窃取信息。当然，这是正派人士所不齿的。”上述专家说。 雷锋网(公众号：雷锋网)了解到，掌握了服务器上的生产数据库后，研究人员就能通过移动应用接管用户账户。如果黑客知道了某账户的密码（老密码），就能直接定位车辆并开车走人。 两位专家指出，这一漏洞可能导致下列严重后果： 1. 黑客只需修改用户密码，就能直接解锁并开走车辆； 2. 拿到所有位置记录报告； 3. 在某人开车时直接关掉车辆引擎； 4. 远程操控开启引擎； 5. 拿到所有用户的数据； 6. 通过应用拿到总线信息； 7. 从连接数据库拿到 IoT 设备的数据或重设密码。这也就意味着黑客手中能掌握千万种可能。 据悉，两位专家本月月初就将问题反映给了 CalAmp，而后者在十天内就将问题彻底解决。   稿源：雷锋网，封面源自网络；

据外媒报道，思科于本周三发布了 16 项安全警告，其中包括 3 个 CVSSv3 严重程度评分为满分 10 分的高危漏洞，根据思科介绍，这 3 个漏洞分别是思科全数字化网络架构中心（Cisco DNA Center）的一个后门帐户和两个认证系统的 bypass。 Cisco DNA Center 是一款针对企业客户的软件，它提供了一个中央系统，用于在大型网络中设计和部署设备配置。 以下为三个高危漏洞的的具体细节： CVE-2018-0222 此漏洞是由于受影响软件的默认管理帐户存在未记录的静态用户凭据，攻击者可以通过使用该帐户登录受影响的系统来利用此漏洞。目前来说，一次成功的攻击可能允许攻击者登录到受影响的系统并使用 root 权限执行任意命令。 此漏洞影响 Cisco DNA Center 软件 1.1.3 之前的版本。 CVE-2018-0268 该漏洞是 Cisco DNA Center 的容器管理子系统中的漏洞，可能允许未经身份验证的远程攻击者绕过身份验证并获得提升的权限。 该漏洞是由于 Cisco DNA Center 中 Kubernetes 容器管理子系统的默认配置不安全造成的，有权访问 Kubernetes 服务端口的攻击者可以在提供的容器中使用提升的特权执行命令。成功利用该漏洞可能会导致受影响的容器完全泄露。 此漏洞影响 Cisco DNA Center 软件 1.1.3 及更早版本。 CVE-2018-0271 该漏洞是 Cisco DNA Center 的 API 网关中的漏洞，可能允许未经身份验证的远程攻击者绕过身份验证并访问关键服务。 该漏洞是由于在服务请求之前无法正常化 URL。攻击者可以通过精心设计的 URL 来利用此漏洞。一次成功的攻击可能会使攻击者获得对关键服务的未经授权的访问，从而导致提升 DNA Center 特权。 此漏洞影响 Cisco DNA Center 软件 1.1.2 之前的版本。 详情请参考思科安全公告： <CVE-2018-0222> <CVE-2018-0268> <CVE-2018-0271> 消息来源：Bleeping Computer，编译：榆榆，审核：吴烦恼; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

距离 Signal 桌面应用程序上一个代码注入漏洞（CVE-2018-10994）被披露不到一周的时间内，安全研究人员又发现了另一个严重的代码注入漏洞（CVE-2018-11101）。与之前的漏洞相似，新漏洞允许远程攻击者可以在无需任何用户交互的情况下，通过向接收者的 Signal 桌面应用程序发送消息来注入恶意代码，从而以明文形式窃取用户的 Signal 聊天记录。 两者漏洞之间的唯一区别在于前一个驻留在处理聊天中共享链接的函数中，而新漏洞则是存在于处理引用消息验证的不同函数中，即引用回复中的前一条消息。换句话说，若要利用 Signal 桌面应用程序的易受攻击版本上新补丁的错误，攻击者需要将恶意 HTML / JavaScript 代码作为消息发送给受害用户，然后使用任何随机文本对同一消息进行引用或者回复。如果受害者在其易受攻击的 Signal 桌面应用程序中接收到包含恶意 payload 的引用消息，那么它将自动执行 payload，而不需要任何用户交互。 除了聊天记录被窃取之外，研究人员在其博客中还指出，攻击者甚至可以使用 HTML iFrame 从远程 SMB 共享中包含文件，该文件可能被滥用来窃取 Windows 密码。 目前开发人员已针对 Windows、MacOS 以及 Linux 用户发布了 Signal 桌面版 1.11.0，建议可能会受到漏洞影响的用户尽快更新。 相关参考： 《新漏洞利用 PoC 》 《CVE-2018-10994》 消息来源：Thehackernews，编译：榆榆，审核：吴烦恼; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

近日，Google 安全研究人员在Red Hat Linux 及其衍生工具（如 Fedora 操作系统） 的 DHCP 客户端（dhclient）软件包中发现了一个严重的远程命令注入漏洞 CVE-2018-1111，可能允许攻击者在目标系统上以 root 权限执行任意命令。目前红帽公司也于本周二发布安全公告确认该漏洞影响了“Red Hat Enterprise Linux 6 和 7”，并建议所有运行 dhclient 软件包受感染版本的客户尽快进行更新。 Google 安全小组的 Felix Wilhelm 发现漏洞驻留在 DHCP 客户端软件包中的 NetworkManager 集成脚本中，由于该脚本主要是用于为使用 DHCP 协议获取网络配置，当用户主机连接到网络后，它会发出 DHCP 请求来获取网络配置参数，例如 IP 地址和 DNS 服务器。而带有恶意 DHCP 服务器、或者连接到与受害者相同网络的攻击者则会通过伪造 DHCP 响应来利用该漏洞在目标系统上以 root 权限执行任意命令。 出于安全考虑，虽然用户可以选择删除或禁用易受攻击的脚本，但Red Hat表示这会阻止在本地系统上配置 DHCP 服务器提供的某些配置参数，例如本地 NTP 或 NIS 服务器的地址。 消息来源：Thehackernews，编译：榆榆，审核：吴烦恼; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全专家总是不厌其烦地劝告人们“不要随意打开来源不明的文件”，最新的案例就来自 Adobe Acrobat 软件的一个漏洞。周二的时候，思科塔洛斯研究人员披露了这款款流行的 PDF 阅读器的漏洞细节。如果 Acrobat 用户不小心打开了恶意 PDF 文档，很可能被攻击者一键入侵，在受害者的计算机上运行讨人厌的软件。万幸的是，官方已经给出了一个修复方案。 周二的时候，Adobe 为 Acrobat 发布了补丁，一同到来的还有其它多个安全更新。 研究人员们演示了他们可以借助一种名叫“缓冲区溢出”的经典黑客技术，这种方法允许攻击者覆盖软件程序的一部分，并运行他们自己的代码。 因此当你点击恶意文件后，电脑就会被黑客控制，并做出其希望的一些事情。此外，研究人员还发现了另外两个可能会被黑客利用，在受害者计算机上执行任意代码的漏洞。 不过相比之下，后者对攻击者的技术能力要求更高一些。对于此事，Adobe 方面没有立即回复记者的置评请求。 实际上，这是 Adobe 在五月份推出的第二批补丁。本月早些时候，该公司修补了其云端和 Flash 应用程序的一批漏洞。   稿源：cnBeta，封面源自网络；

据 ArsTechnica 报道，此前在互联网上被广泛使用的电子邮件加密方法（PGP 与 S/Mime），已经曝出了两个严重的漏洞，或导致加密电邮在黑客面前暴露无遗。周日晚些时候，一名研究人员警告称，当前没有可靠的解决方案，只能建议那些为敏感通信采用加密标准的人们，立即将之从电子邮件客户端移除。 明斯特大学应用科学系计算机安全教授 Sebastian Schinzel 在 Twitter 上表示： 该漏洞或导致加密电邮明文泄露，甚至包括用户过去发送的加密邮件。 当前暂无针对该漏洞的可靠修复方案，如果你将 PGP/GPG 或 S/MIME 用于敏感通讯加密，则应该立即在电邮客户端中禁用。 此外，Schinzel 援引电子前沿基金会（EFF）的话称： EFF 一直与研究团队进行着沟通，并且可以确认漏洞对那些使用这些工具进行 E-mail 通讯的人来说是一个直接的风险，包括对过去的信息内容也有潜在的影响。 Schinzel 和 EFF 博客文章都指出，用户应该禁用 Thunderbird、macOS Mail、Outlook 等邮件客户端中的相关加密插件。 将插件从上述 E-mail 客户端移除后，你的电子邮件将不会被自动加密。如果接收到了 GPG 加密的消息，请不要解密它们。 值得玩味的是，其仅明确提醒禁用那些集成了 GPG 的电邮客户端，而 Gpg4win、GNU Privacy Guard 等却不在此列。 当前公众对漏洞的细节知之甚少，不过研究团队很早就开始了这方面的攻击研究，比如 2016 年的 Drown（对 TLS 协议保护的通信进行了解密）。 其它从事 GPG 与 S/MIME 研究的人员包括 Damian Poddebniak、Christian Dresen、Jens Müller、Fabian Ising、Simon Friedberger、juraj somorovsky、Jörg Schwenk 。 除了明斯特大学（Münster University），研究人员还提到了波鸿鲁尔大学（Ruhr-University）和鲁汶大学（ KU Leuven University）。   稿源：cnBeta，封面源自网络；