讯 北京时间9月18日上午消息，Facebook平台上的第三方应用可访问用户数据，但这些应用近期被发现诸多漏洞。随着相关批评越来越多，Facebook近日宣布，将其漏洞赏金项目（bug bounty program）扩大至第三方应用范围。 Facebook如今将向报告用户访问令牌（user access tokens）内漏洞的开发人员提供奖励。所谓用户访问令牌，即允许用户通过登录Facebook直接注册/登录第三方应用的功能。假如这个访问令牌落入黑客手中，他们可以未经同意获取用户数据。 在报告中，研究人员须提交概念验证，来说明该漏洞如何可以允许黑客访问或滥用用户数据。Facebook将为报告提供至少500美元的奖励，并且只关注拥有至少5万活跃用户的应用上发现的漏洞。 在宣布这一变更的博客文章里，安全工程师丹·葛芬科（Dan Gurfinkel）说，Facebook将只考虑这些报告：“在使用有漏洞应用和网站时，通过被动查看发送至您的设备或从您设备发出的数据时发现的漏洞”。因此，研究人员无法创建一个开放的重定向，比如，来绕过身份验证要求。 “如果暴露，基于用于设置的权限，访问令牌极有可能被滥用，”葛芬科写道，“我们希望给研究人员提供一个明确的渠道来报告这些重要的问题，我们也希望进我们最大的努力去保护人们的信息，即使问题源不在我们的直接掌控之下。” 通常，第三方应用漏洞均不在大型科技公司的赏金漏洞报告的范围之内。但是Facebook仍在艰难处理用户的反对情绪，因为多年来公司一直允许第三方应用访问大量用户数据且基本上没有任何监督，其中一些应用甚至以允许其他人访问这些数据，违反Facebook的开发者政策，最显著的例子就是“剑桥分析”（Cambridge Analytica）数据泄露事件。 最近几个月，一些应用如Bumble和Coffee Meet Bagel等，也向用户提供了Facebook身份验证之外的其他登录选项——以回应他们所说的用户对使用Facebook登录越来越不放心一事。因此，Facebook必须对第三方应用予以监管以重新获得用户信任。 Facebook最近也推出了修订的应用审查流程，旨在清理访问超出其本身所需的用户数据的第三方应用。   稿源：，稿件以及封面源自网络；

讯 北京时间9月12日早间消息，据美国科技媒体The Register报道，安全研究人员发现Edge和Safari浏览器存在漏洞，恶意者可以利用漏洞发起攻击，在不改变地址的情况下改变网页内容。 安全研究人员拉菲·巴罗奇（Rafay Baloch）指出，微软已经用补丁修复漏洞，不过苹果行动迟缓，所以目前Safari仍然不安全。 通过漏洞，攻击者可以加载合法页面，让网页地址在地址栏显示，然后快速将页面内的代码转换为恶意代码，地址栏中的URL地址无需改变。这样一来，攻击者可以创建虚假登录屏幕或者其它表格，收集用户名、密码及其它数据，用户很难区分真假，他们会认为自己登录的页面是真实的。 浏览器的源码是封闭的，巴罗奇不清楚Edge和Safari存在该漏洞，但Chrome和火狐没有的原因。照他的猜测，浏览器决定何时显示页面地址可能是问题的关键。巴罗奇说：“不同的浏览器处理导航的手法并不一样，当页面正在加载时，Safari、Edge浏览器允许代码更新。浏览器可以允许地址栏在页面完全加载之后更新一次，这样就可以解决问题了。” 微软目前已经修复漏洞。6月2日巴罗奇向苹果提交报告，至今还没有修复。按照惯例有90天的时间窗口，巴罗奇说他会披露漏洞，但是在苹果发布补丁之前不会公开代码。   稿源：，稿件以及封面源自网络；

凤凰网科技讯 据The Verge北京时间9月11日报道，比利时鲁汶大学的研究人员发现一种欺骗特斯拉无钥匙进入系统的方法。黑客只需与车主擦肩而过、复制其密钥，数秒钟时间就能轻松盗窃特斯拉电动汽车。 这种攻击特别重要，因为特斯拉是无钥匙进入系统概念的先驱，目前这一系统已经被大多数豪华汽车所采用。 这一攻击似乎只适用于6月份前交付的Model S车型，特斯拉上周发布的补丁软件已经修正了相关漏洞。更重要的是，特斯拉增添了新的安全选项，汽车在启动前用户需要输入PIN密码。 值得指出的是，特斯拉汽车已经具备相当的防盗能力，因为即使汽车被盗后，一直开启的GPS系统通常使车主能实时了解汽车的位置。 这类攻击造成汽车安全业界恐慌已经不是第一次。多年来，大众一直面临Megamos系统中一处安全漏洞的困扰，该漏洞使得黑客能模拟车主的遥控钥匙，打开车门。 防范这类攻击的最有效的方法，是特斯拉目前已经采取的措施：采用强大的加密技术防止信号被解密。但是，加密强度会受制于遥控钥匙有限的处理能力。   稿源：凤凰网科技，编译：霜叶，封面源自网络；

网络安全和渗透测试咨询公司 SureCloud 的研究人员发现谷歌 Chrome 和 Opera 浏览器存在漏洞，可使 Wi-Fi 受到攻击。 研究人员表示，基于 Chrome 内核的浏览器可以保存 Wi-Fi 中路由器管理页面凭据并自动重新输入，以方便用户使用，而由于大多数家用路由器不使用加密通信进行后台管理，这使得研究人员能够利用这种自动凭证重新登录，达到窃取路由器登录凭据并使用它们捕获 Wi-Fi 密码（PSK）的目的。研究人员还提供了一段漏洞利用的演示视频：https://youtu.be/YW0drHztgJY 这个漏洞适用于任何基于 Chrome 内核 Chromium 的浏览器，例如 Chrome、Opera、Slimjet 与 Torch 等，通过明文 HTTP 提供管理页面的任何路由器都会受到此问题的影响。 研究人员早在 3 月 2 日就向 Google 的 Chromium 项目披露了该漏洞，但 Chromium 回复称浏览器功能按设计工作，并且不打算修复。 “安全性和便利性之间始终存在权衡，但我们的研究清楚地表明，存储登录凭据的 Web 浏览器中的功能正在使数以百万计的家庭和企业网络受到攻击“，SureCloud 的网络安全实践总监 Luke Potter 说：“我们认为这个设计问题需要在受影响的 Web 浏览器中修复，以防止漏洞被利用，造成用户损失。”对于谷歌不修复该漏洞的回复，他们也没办法。 而最新消息是，在前两天推出的 Chrome 69 中，谷歌已经修复了该漏洞。   稿源：开源中国，封面源自网络；

据报道，Wireshark 团队修补了许多可能被利用来强制系统崩溃和 DoS 的严重漏洞。 在思科提供的分析报告中，其表示，CVE-2018-16056、CVE-2018-16057 和 CVE-2018-16058 这三个漏洞有可能对运行版本 2.6.0 到 2.6.2、2.4.0 到 2.4.8 和 2.2.0 到 2.2.16 Wireshark 的用户造成严重干扰。第一个漏洞 CVE-2018-16056 是 Wireshark 的蓝牙属性协议（ATT）解析器组件中存在的漏洞。Wireshark 的 epan/dissectors/packet-btatt.c 源代码文件不验证是否存在特定通用唯一标识符（UUID）的解析器，允许未经身份验证的远程攻击者将精心制作的数据包发送到网络中，从而导致组件崩溃。此外，攻击者可以欺骗用户打开格式错误的数据包，从而导致同样的后果。 第二个漏洞 CVE-2018-16057 是 Wireshark 的 Radiotap 解析器组件中的安全漏洞。组件的源文件中没有足够的绑定检查，可以通过使用格式错误的数据包来利用它，未经身份验证的远程攻击者可以利用此安全漏洞在目标系统上导致 DoS。 另一个漏洞 CVE-2018-16058 是在 Wireshark 音频/视频分发传输协议（AVDTP）解析器中找到的。epan/dissectors/packet-btavdtp.c 源代码文件不正确地初始化数据结构，导致恶意数据包利用系统并造成系统崩溃。 目前已经向公众发布了概念验证（PoC）代码，演示了如何利用这些安全漏洞。 Wireshark 团队承认存在这些安全漏洞，并已发布软件更新解决了问题。Wireshark 的用户应将其软件版本更新到版本 2.6.3、2.4.9、2.2.17 或更高版本，以保护自己免受漏洞利用的风险。   稿源：开源中国，封面源自网络；

近日 Nightwatch Cybersecurity 的安全研究专家 Yakov Shafranovich 发现了 Android 系统中存在的漏洞，能够让网络攻击者秘密捕获 WiFi 广播数据从而追踪用户。这些数据涵盖 WiFi 网络名称、BSSID、本地 IP 地址、DNS 服务器数据以及 MAC 地址，尽管后者在 Android 6 及更高版本中就已经通过 API 来隐藏掉了。 常规 APP 通常会用于合法目的来截取这些数据。但流氓 APP 在窃听这些数据之后，极有可能会导致敏感数据的泄露。攻击者可能会用于发起针对本地 WiFi 的网络攻击，以及使用 MAC 地址来追踪指定的 Android 设备。此外使用数据库查找，还可以通过网络名称和 BSSID 进行地理标记。 研究人员表示“虽然系统中对于阅读此类消息的功能进行了严苛的限制，但应用开发者往往忽略了如何正确的部署这些限制以及如何更好的保护敏感数据。这在 Android 系统中 APP 比较普遍，一旦设备被恶意 APP 感染，就会被黑客处于监听的状态，并且截取其他 APP 的广播信息。”   稿源：cnBeta.COM，封面源自网络；

据外媒报道，美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露（CVE）系统。 CVE 由 MITRE 公司在美国政府资助下创建于1999年，它是一个包含安全漏洞识别符（追踪号码）的数据库。自创建以来，CVE 系统被公共和私营企业采用，广泛应用于全球各地。大多数现代网络安全软件使用 CVE 编号来识别和跟踪利用某些软件 bug 的网络攻击。 CVE 数据库一直受到各种问题的困扰 但近年来，CVE 系统饱受压力。从2015年末起，大量安全研究员反馈称在获取 CVE 编号时延迟严重。他们中的一群人甚至联合起来创建了一个替代的漏洞数据库，称为分布式弱点归档（DWF）。 当时，MITER 表示 CVE 号码分配延迟是由于软件供应商数量的增加，和软件驱动的工业（SCADA）设备和物联网设备的激增造成的。这两个因素导致漏洞报告的数量大幅增加，CVE 员工无法及时跟进。2016年末的一份报告发现，MITER 的 CVE 未能向2015年发现的 6000 多个漏洞分配编号。 美国参议院于 2017 年开始调查 CVE 项目 在媒体的大肆报道后，美国参议院能源和商务委员会于2017年3月底启动了对 CVE 项目的调查。 参议院之所以有权调查 CVE 的运行情况，是因为 MITRE 从美国国土安全部的国家网络安全处获得运行 CVE 数据库的资金。 经过长达一年的调查后，能源和商务委员本周一致函国土安全部（DHS）和 MITRE 公司，概述了调查结果和拟议的行动方案，以解决 CVE 中发现的问题。 原因＃1：资金波动和减少 委员会表示，DHS 资助金额的不一致和大幅减少是该项目走下坡路并大量积压的原因之一。信中写道：“2012-2015年，项目收到的资金同比减少了37％。DHS 和 MITER 文档显示，CVE 合同既不稳定，又容易出现计划和资金上的剧烈波动。” 为解决这一问题，委员会建议国土安全部官员将 CVE 的资金从基于合同的资助计划转移到 DHS 的自身预算内，作为 PPA（计划、项目或活动）资助项目，让 MITRE 专注于运营 CVE 数据库而不用总是担心资助问题。 原因＃2：缺乏监督 其次，委员会还确定了第二个问题来源，即缺乏对 CVE 项目的监督。 “管理 CVE 计划的历史实践显然是不够的。除非取得重大进展，否则它们可能会再次引发对整个社会利益相关者产生直接负面影响的问题和挑战”，委员会建议 DHS 和 MITER 进行两年一次的审查，以确保该项目在未来几年的稳定性和有效性，帮助在渗入下游网络安全行业之前发现问题。   稿源：开源中国社区，封面源自网络；

McAfee 刚刚宣布，他们在 Windows 10 中的 Cortana 数字助理身上发现了一个新的漏洞，且其竟然可以获得锁定后的系统的物理访问权限。万幸的是，这两个新漏洞已经作为微软 8 月 Windows 10 更新的一部分而得到了解决，因为 McAfee 实验室的高级威胁研究团队在第一时间向微软通报了此事。 该公司称，使用 Cortana 锁定的 Windows 10 设备，可能允许具有物理访问权限的攻击者，在未修补的系统上机型两种未经授权的浏览： ● 攻击者可以强制 Microsoft Edge 导航至被攻击者控制的 URL； ● 攻击者可以使用受保护的受害者凭据，使用首先版本的 IE 11 浏览器。 两位研究人员（Cedric Cochin 和 Steve Povolny）在博客文章中解释道： 第一种情况下，Cortana 权限提升会导致锁屏上的强制导航。该漏洞不允许攻击者解锁设备，但它却是允许具有物理访问权限的人，强制 Edge 在设备仍处于锁定状态时，导航到攻击者指定的页面。 这与 BadUSB bug、中间人或流氓 Wi-Fi 等攻击方式不同，只是简单的语音命令、以及与设备的触屏或鼠标交互。 McAfee 还披露了在最新的 Patch Tuesday（每月第二个周二）更新中解决的其它发现： ● McAfee 研究人员发现，在处于锁定状态时，Cortana 可能被迫打开受攻击控制的页面。恶意人员可以利用它来操纵危机百科页面（Cortana 经常在锁定模式下作为‘可信站点’来引用），以包含恶意链接和信息。 ● 研究人员还发现，攻击者可以通过 Internet Explorer 引擎（而不是整个 IE 浏览器）来访问和导航，即便 JavaScript 和 Cookie 都一起用。利用此方法，当设备仍处于锁定状态时，攻击者可以通过其它用户的设备，在公共论坛上发表评论、或者利用已缓存的凭据而冒充他人。       稿源：cnBeta.COM，编译自：Windows Latest，封面源自网络；

近日，安全研究人员发现了影响英特尔处理器的 “Foreshadow” （预兆）新漏洞，其能够绕过该公司内置的芯片安全特性，使得攻击者可能获得存储在处理器“安全封锁区域”的敏感数据。外媒 Wired 指出，Foreshadow 会攻击英特尔处理器上一项名叫“安全警卫扩展”（Secure Guard Extensions）的功能，后者亦被简称为 SGX 。 SGX 旨在帮助保护处理器中保存的用户数据，即便整个计算机都已被攻击者所控制。但实际上，SGX 是在芯片上创建了一个用于保存敏感的数据的安全内存区域，这部分内容无法被恶意代码直接读取。 虽然 SFX 之前被认为能够抵御投机性执行攻击，例如今年早些时候曝光的‘熔毁’（Meltdown）和‘幽灵’（Spectre）漏洞。 但 Foreshadow 漏洞不仅利用了类似的技术，还可以访问受 SGX 保护的 L1 缓存、甚至提取目标的私有证明密钥 —— 这也是用于 SGX 完整性检查的加密密钥。 鉴于 SGX 内置隐私保护，外界很难知晓由谁签署了“飞地”。而知晓了“证明密钥”，就可以允许创建“看似真实”的 SGX 签名 —— 但事实并非如此。 由于证明密钥被泄露，意味着同一生态系统中的多台计算机‘可能同时受到攻击’，而不仅限于一台。 推测性执行攻击，依赖于处理器猜测将要执行的操作，并为之做好准备。 这么做的原意是为了节省资源，但同时，其产生的信息可能对攻击者插入自有指令起到了实质性作用，从而获得对系统的控制。 此外，研究人员发现了两个被叫做“Foreshadow-NG”的类似变体。它们也会攻击 SMM 代码、操作系统、管理程序软件、以及其它微处理器。 研究人员称，这可能会影响云服务上的虚拟机，包括使用恶意访客 VM 读取虚拟机管理程序的内存、甚至是属于另一台虚拟机的内存。 最早发现这一漏洞的，是来自 KU Leuven 的研究人员。其对 Meltdown 和 Spectre 展开了独立研究，并于 2018 年 1 月 3 日向英特尔通报。 来自 Technion、密歇根大学、阿德莱德大学、思科旗下 Data61 等机构的其他研究人员，也分别发现了这些问题，并于 1 月 23 号向英特尔警示了此事。 研究人员建议，所有 Skylake 和 Kaby Lake 处理器都会受到 Foreshadow 攻击的影响，因为它们都是用了 SGX 。 攻击发生后，只会在日志中留下些微的痕迹，而且它也可以在‘用户空间’中启动。换言之，攻击者无需深层系统访问，即可执行攻击。 好消息是，由于执行攻击的前提是针对支持 SGX 的处理器，大多数桌面用户不大可能受到 Foreshadow 的影响。 与新发现相比，其它攻击途径（包括分发恶意软件和网络钓鱼企图）反而更有可能受到攻击者的青睐。 英特尔已经通过软件修复和微码更新，提供了缓解 Foreshadow 攻击的措施。 该公司称之为‘L1 终端缺陷’（L1 Terminal Fault），并且从 5 月份开始，就已经携手各大科技企业来发布相关补丁了。   稿源：cnBeta.COM，编译自：Apple Insider，封面源自网络；

美国联邦调查局（FBI）近期向银行业发布警告，称网络犯罪分子可以绕过 ATM 取款机上的各种安全措施，从而让 ATM 非法吐钞。FBI 表示获得尚未证实的匿名线报，称网络犯罪份子计划在未来几天内对全球 ATM 取款机发起这种攻击，目前仍不确定漏洞所在，可能和一些发卡机构违规操作有关。 图片来自于 U.S. Air Force photo by Tech. Sgt. Josef Cole 这通常称之为“unlimited operation”，通过安装恶意软件来破坏金融机构或者而支付终端，允许黑客进行网络访问获得管理员级别的访问权限。一旦黑客攻入该系统，那么就能关闭 ATM 提款金额（和交易限额）上的限制，甚至能够提取数百万的大额资金。   稿源：cnBeta.COM，封面源自网络；