外媒 1 月 30 日报道，思科（ Cisco ）于 29 日发布了一个补丁程序，旨在修复影响 ASA 设备的一个严重漏洞。根据思科发布的安全公告显示，该漏洞驻留在设备的 SSL VPN 功能中（解决远程用户访问敏感数据最简单最安全的解决技术），可能会允许未经身份验证的攻击者在受影响的设备上远程执行代码。 该漏洞被追踪为 CVE-2018-0101，是由于在思科 ASA 设备上启用 webvpn 功能时尝试双重释放内存区域所致。据悉，攻击者可以通过将多个精心制作的 XML 数据包发送到受影响系统的 webvpn 配置接口上来利用此漏洞。这样一来，攻击者就能够远程执行任意代码并获得系统的控制权，甚至在某些情况下可能也会致使受影响的设备重新加载。 目前该漏洞影响了思科近十几种产品，如以下列表： — 3000 系列工业安全设备（ ISA ） — ASA 5500 系列自适应安全设备 — ASA 5500-X 系列下一代防火墙 — 适用于 Cisco Catalyst 6500 系列交换机和 Cisco 7600 系列路由器的 ASA 服务模块 — ASA 1000V 云防火墙 — 自适应安全虚拟设备（ASAv） — Firepower 2100 系列安全设备 — Firepower 4110 安全设备 — Firepower 9300 ASA 安全模块 — Firepower 威胁防御软件（ FTD ） 尽管这个漏洞影响了许多 ASA 设备，但是思科声称只有启用了 “ webvpn ”  功能的设备才易受攻击。此外，目前还不确定该漏洞是否已被野外利用，因此相关专家建议受影响的公司尽早推出安全补丁。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 23 日消息，安全研究人员近期公布了 2017 年 WordPress 插件和主题漏洞的统计数据，这些数据来源于 ThreatPress 最新的 WordPress 漏洞数据库。据悉，目前 ThreatPress 正在监视大量的数据源，以便实时向数据库中添加新的漏洞。 2017 年整体统计数据 2017 年 ThreatPress 在其数据库中添加了 221 个漏洞，总数较之前减少了 69 ％。数据显示， 跨站脚本（XSS）与 2016 年一样，仍然位列榜首。研究人员猜测是因为许多开发人员不重视转义数据输出，才导致了越来越多的 WordPress 插件和主题受到跨站点脚本（XSS）漏洞的攻击。此外， SQL 注入漏洞在 2017 年也大幅上升。 令人惊讶的是，目前有许多网站受到 WordPress 插件中的漏洞威胁，据初步统计，安装插件的网站总数已达 17,101,300 + ，其中： ○ 易受攻击的插件 – 202 ○ 易受攻击的主题 – 5 ○ 受 WordPress.org 存储库漏洞影响的插件 – 153 ○ 受漏洞影响的 非 WordPress.org 存储库插件 – 24 WordPress 的三大漏洞 ○ 跨站点脚本（ XSS ） ○ SQL 注入（ SQLi ） ○ 损坏的访问控制 按漏洞类型分类的插件 TOP 5 统计 ○ XSS（跨站脚本） – 71 ○ SQL注入 – 40 ○ 不受限制的访问 – 20 ○ 跨站请求伪造（CSRF） – 12 ○ 多重攻击（Multi） – 10 在 2017 年受到漏洞影响的最受欢迎的 5 个插件 ○ Yoast SEO（最流行的 SEO 插件） – 5,000,000  –>  受 XSS（跨站脚本）影响 ○ WooCommerce（最流行的电子商务插件） – 3,000,000  –>  受 XSS（跨站脚本）影响 ○ Smush 图像压缩和优化 – 1,000,000  –> 受 目录遍历 影响 ○ Duplicator – 1,000,000   –>  受 XSS（跨站脚本）影响 ○ Loginizer – 600,000  –> 受 SQL 注入影响 滞后的安全更新 ○ WordPress 在 2017 年发布了 8 个安全更新。 ○ 安全漏洞数据库中的漏洞总数为 3321 。 ○ 第一个漏洞发现于 2005-02-20 。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 23 日消息，谷歌黑客  Tavis Ormandy 于近期发现暴雪游戏中存在一个严重漏洞，导致数百万台电脑遭到 DNS Rebinding （DNS 重绑定）攻击，从而允许攻击者在游戏玩家的电脑上远程执行恶意代码。目前，暴雪公司在其客户端版本 5996 中加入了部分缓解措施，并表示后续推出的补丁会采取更多稳定的主机白名单机制。 “ 魔兽世界 ”、“ 守望先锋 ”、“ 暗黑破坏神3 ”、“ 炉石传说 ” 和 “ 星际争霸 2 ” 等都是由暴雪娱乐公司制作的流行网络游戏。根据统计数据显示，暴雪公司每月的在线玩家数量达到 5 亿人次。 漏洞信息 若玩家要用浏览器在线玩暴雪游戏，需在自己电脑系统中安装一个名为 “ Blizzard Update Agent ”的客户端程序，然后该应用程序会在 1120 端口上通过 HTTP 协议运行 JSON-RPC 服务器，以便执行 “ 命令安装、卸载、设置更改、更新和其他维护相关的选项 ” 等操作。 Ormandy 发现 Blizzard Update Agent 程序极易受到 DNS Rebinding 攻击。 因为 DNS Rebinding 允许任何网站充当外部服务器和本地主机之间的桥梁，这意味着任意网站都可以向 Blizzard Update Agent 程序发送特权命令。 Ormandy 最初于去年 12 月向暴雪公司报告了该漏洞，不过在几次沟通之后，暴雪公司停止了对 Ormandy 的邮件回应，并秘密地在客户端版本 5996 中加入了部分缓解措施。暴雪公司的解决方案似乎是查询客户端命令行，获取 exename 的 32 位 FNV-1a 哈希值，然后检查它是否在黑名单中。然而， Ormandy 建议暴雪公司将其主机名列入白名单。 在 Ormandy 披露了该漏洞之后，暴雪公司声称相关补丁正在研发部署之中，并承诺会采取更多稳定的主机白名单机制来修复该漏洞。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

本周三英特尔召开发布会，正式透露在修复安全漏洞的补丁更新后计算机的性能衰减详情。英特尔强调修复补丁对于计算机性能的影响取决于工作负载和配置，此次性能影响将对运行着高负载老旧芯片型号会受巨大影响，而运行 Windows 10 系统的最新芯片的性能影响会微乎其微。 英特尔表示，它在服务器平台上进行了一系列测试，发现通常由企业和云客户执行的常见工作负载的影响可能会达到2％。数据中心集团总经理纳辛·谢诺（ Navin Shenoy ）解释说，根据模拟经纪公司客户经纪人与证券交易所互动的模拟线上交易处理（ OLTP ）基准，这一性能衰减可能达到 4％。而对处理大数据量的服务器的性能影响情况尤其严重，英特尔称这些配置的性能影响可高达 25%， 英特尔官员还补充说，该公司正在与合作伙伴合作，降低补丁对性能的影响，Google 的解决方案在这方面可能派上用场。 稿源：cnBeta，封面源自网络；

媒体 1 月 16 日早间消息，加拿大软件制造商黑莓本周一发布了一个新的网络安全软件，它能够辨识无人驾驶汽车所使用的程序中所含有的漏洞。这个软件名为 Jarvis，除了无人驾驶汽车之外，它还可以被用在医疗健康以及工业自动化领域。黑莓公司希望凭借这个软件完成从手机制造商到软件制造商的转型。 黑莓公司表示，汽车制造商可以使用这个软件在软件开发的各个阶段对软件代码进行扫描，以此来寻找代码中的漏洞。 去年在世界范围内爆发的 WannaCry 勒索软件让黑莓的安全软件业务受到了人们的注意，黑莓的这项业务专注于移动设备上的安全连接。 黑莓表示他们已经与于著名汽车制造商塔塔汽车旗下的捷豹路虎一起对 Jarvis 进行了测试。捷豹路虎 CEO 表示，Jarvis 能够让代码审核所需要的时间从 30 天减少到 7 分钟。 去年 9 月，黑莓还宣布他们将于汽车零部件制造商德尔福一起开发无人驾驶汽车软件操作系统。本月早些时候，黑莓与百度签署了一项协议，双方将联合开发无人驾驶技术。除此之外，黑莓最近还与芯片制造商高通、汽车零部件制造商电装以及福特汽车公司签署了与汽车相关的协议。 稿源：cnBeta、，稿件以及封面源自网络；

据外媒报道，本周，美国众议院通过了《网络漏洞公开报告法案 ( Cyber Vulnerability Disclosure Reporting Act ) 》。虽然这一法案的适用范围非常有限，但电子前沿基金会 ( EFF) 对此还是表示支持并希望参议院也能为其亮绿灯。 据悉，H.R.3202 是一个简短且简单的法案，由议员 Jackson Lee 发起，其将要求国土安全局 ( DHS ) 向国会提交关于政府如何处理公开漏洞的相关报告。具体点来说，报告内容分为两个部分：DHS 为协调网络漏洞公开而制定的政策和程序描述；可能为机密属性的 “ 附件 ”，包括一些特定实例的描述。 或许这一法案最好的地方就在于它能彰显政府确实如其长期以来所说的那样公开了大量漏洞。截止到目前，关于这方面的证据一直不多。所以假设政府有意公开报告和机密附件，那么公众对政府防御能力的信心极有可能会得到增强。 稿源：cnBeta，封面源自网络；

据媒体 1 月 12 日消息，AMD 本周四表示，两种 Spectre 变体漏洞都会对公司处理器构成威胁，就在几天前，AMD 还说其中一种漏洞影响公司处理器的机率几乎为零。AMD 发表声明称，在芯片是否容易受到 Spectre 影响这件事情上，公司的立场并没有改变，尽管如此，AMD 刚一发表声明股价就下跌 4.0% 。 上周，安全专家披露一组漏洞，黑客可以利用漏洞从设备窃取敏感信息，几乎每一款安装英特尔、AMD、ARM 芯片的设备都受到影响。 不过投资者相信 AMD 芯片的风险比英特尔低一些。1月3日，漏洞消息公布之后 AMD 股价大涨近 20%，投资者认为 AMD 将会从英特尔手中夺回一些市场份额，英特尔芯片对三种变体漏洞都缺乏免疫力。AMD 没有受到 Meltdown 影响，这一点没有变。 周四公布消息之后，AMD 股价盘后下跌 4%，降至 11.65 美元；后来恢复到 11.80 美元，下跌 2.9%。 1 月 3 日，AMD 曾说公司的芯片会受到一种 Spectre 变体漏洞影响，至于第二种 Spectre 变体漏洞，影响 AMD 芯片的概率几乎为零。在周四的声明中，AMD 却说第二种 Spectre 同样对 AMD 有效，从本周开始，AMD 将会发布面向 Ryzen、EPYC 处理器的补丁，未来几周还会发布补丁修复更老的芯片。 AMD 首席技术官马克·裴波马斯特 ( Mark Papermaster ) 在周四的博文中表示：“虽然我们相信 AMD 处理器架构很安全，2 号变体漏洞难以发挥作用，我们还是与产业密切合作，应对威胁。” 稿源：cnBeta、，稿件以及封面源自网络；

外媒 1 月 10 日消息，知名钱包开发商 Electrum 近期针对其比特币钱包的 JSONRPC 接口漏洞发布了安全补丁。 据悉，该漏洞允许托管 Electrum 钱包的恶意网站通过 Web 浏览器窃取用户的加密货币，研究人员猜测这可能与 JSONRPC 接口中的密码暴露有关。此外，攻击者还可以利用该漏洞获得私人数据，例如比特币地址、交易标签、地址标签、钱包联系人等信息。目前该漏洞影响了几乎所有平台上的 Electrum 2.6 – 3.0.4 版本。 研究人员介绍了该漏洞的具体细节：当 Electrum 后台程序运行时，在 web 服务器上不同虚拟主机的攻击者可以通过本地的 RPC 端口轻易地访问 electrum 钱包。此外，该漏洞还允许攻击者在运行 Electrum 时修改用户设置。 相关媒体报道称该漏洞早在两年前就已经存在，Electrum 之前也发布过针对该漏洞的安全补丁，不过当时并未起到作用。研究人员建议用户应升级其 Electrum 软件，并停止使用旧版本。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

普通的 Windows 电脑在打上微软修补 Meltdown 和 Spectre 漏洞的补丁后，到底性能会下降吗？民间测试结论各异，其中还不乏耸人听闻的 “ 标题党 ” ，对此，微软终于官方发声。微软 Windows 和设备执行副总裁 TERRY MYERSON 今天在微软官方博客撰文，希望外界可以更好地理解修复和性能之间的关系。 关于漏洞的说明，微软的整理是目前最为详细的—— 其中第一种形式（Variant 1，简称 V1 ）“ Bounds Check Bypass（绕过边界检查/边界检查旁路）” 和第二种形式 “ Branch Target Injection（分支目标注入）” 属于 Spectre（幽灵），而第三种 “ Rogue Data Cache Load（恶意的数据缓存载入）” 则属于 Meldown（熔断）。 其中，V1 和 V3 均不需要处理器微代码更新（即 BIOS 更新），V2 则需要。 对于 V1，Windows 的解决方式是二级制编译器更新和从 JS 端加固浏览器，对于 V2，微软需要 CPU 指令集更新，对于 V3，需要分离内核和用户层代码的页表。 性能影响 Myerson 称，微软发现，修复 V1/V3 对性能的影响微乎其微，问题的关键在于 V2 对底层指令集做了修改，导致成为性能损失的主因，以下是微软的测试结论—— 1、搭载 Skylake/Kaby Lake 或者更新的处理器平台的 Windows 10 系统，降幅在个位数，意味着，绝大多数用户都感受不到变化，因为即便慢，也是在微妙之内。 2、搭载 Haswell 或者更早的处理器的 Windows 10 平台，影响已经有些显著了，可能部分用户已经可以觉察出来。 3、搭载 Haswell 或者更早的处理器的 Windows 7/8.1 平台，大部分用户会明显感受到性能削弱。 4、任何处理器的 Windows Server 平台，尤其是密集 I/O 环境下，在执行代码分离操作时性能降幅会异常明显。 微软称，Windows 7/8 在架构时由于使用了过多的用户到内核过渡，导致影响更明显。 微软最后表示，会继续和合作伙伴一道致力于更优质的安全方案开发。 结合 AMD 的声明，他们的 CPU 架构对 Meldown 也就是 V3 是完全免疫，但 Spectre 的第一种形式则需要配合操作系统更新实现。 稿源：cnBeta、快科技，封面源自网络；

据外媒报道，2015 年智能玩具制造商伟易达（ VTech ）的安全漏洞导致数百万家长和孩子的数据遭曝光。日前美国联邦贸易委员会 ( FTC ) 宣布对其处以 65 万美元的罚款。这家香港公司生产各种 “ 智能 ” 玩具，并鼓励家长和孩子们在伟易达网站上完善个人资料。 2015 年 11 月，伟易达承认在一次数据泄露事件中，数百万用户数据遭黑客窃取。一名安全研究人员表示，其网站本身不但不安全，而且数据在传输时都没有加密，这与伟易达隐私政策中的安全声明不一致。这不仅仅是不好的做法，而且违反了美国儿童网路隐私保护法 COPPA 。美国联邦贸易委员会随后介入调查。 受影响的家长和儿童的数量很难估计，但当时有近 500 万父母记录和 22.7 万个儿童记录显示可以访问。然而联邦贸易委员会在其调查笔记摘要中写到： 约有 225 万名家长在 Learning Lodge  注册并创建了近 300 万名儿童的帐户。其中包括大约 638,000 个 Kid Connect 账户。此外，截至 2015 年 11 月，美国大约有 13.4 万名父母为 13 多万名儿童创建了 Planet VTech 账户。 另外，加拿大隐私专员办公室办公室（ OPC ）写道，“ 超过 50 万加拿大儿童及其父母 ” 受到影响。 联邦贸易委员会周一公布了调查结果，即伟易达曾以多种方式违反了美国的法律，未能按照承诺和要求保证数据的安全。FTC 对这家公司处以 65 万美元的罚款。加拿大的 OPC 似乎还没有采取任何措施。 稿源：cnBeta，封面源自网络；