Debian 项目近日发布了针对 Debian GNU/Linux 9 “ Stretch ” 系列操作系统新的 Linux 内核安全更新，修复了最近发现的几个漏洞 。 根据最新的 DSA 4073-1 Debian 安全通报，在 Debian GNU/Linux 9 “ Stretch ” 操作系统的 Linux 4.9 LTS 内核中，共有 18 个安全漏洞，其中包括信息泄露，提权升级和拒绝服务等问题。 通报显示，在 Linux 内核的 DCCP 实现、dvb-usb-lmedm04 驱动程序、hdpvr 媒体驱动程序、扩展 BPF 验证程序、netfilter 子系统、netlink 子系统、xt_osf 模块、USB 核心以及 IPv4 原始套接字实现都存在问题。另外，Linux 内核的 HMAC 实现、KEYS 子系统、Intel 处理器的 KVM 实现、蓝牙子系统和扩展 BPF 验证器也受到某种影响。 Debian 项目建议禁用未经授权的用户使用扩展 BPF 验证器（ sysctl kernel.unprivileged_bpf_disabled = 1 ）。 有关更多详细信息，请参阅 CVE-2017-8824，CVE-2017-16538，CVE-2017-16644，CVE-2017-16995，CVE-2017-17448，CVE-2017-17449，CVE-2017-17450，CVE-2017 -17558，CVE-2017-17712，CVE-2017-17741，CVE-2017-17805，CVE-2017-17806，CVE-2017-17807，CVE-2017-17862，CVE-2017-17863，CVE-2017-17864 ，CVE-2017-1000407 和 CVE-2017-1000410。 Debian 在默认情况下禁用非特权用户命名空间，但是如果启用（通过 kernel.unprivileged_userns_clone sysctl ），那么 CVE-2017-17448 可以被任何本地用户利用，因此建议升级 linux 软件包。 建议用户立即更新系统 为了解决所有这些问题，Debian 敦促用户尽快将运行 Linux 内核 4.9 LTS 的 Debian GNU / Linux 9 “ Stretch ” 安装更新到 4.9.65-3 + deb9u1 版本，并且在安装新内核更新后重新启动计算机。 Debian GNU/Linux 9 “ Stretch ” 是 Debian GNU/Linux 操作系统的最新稳定版本。本月早些时候，Debian GNU/Linux 9.3 发布了最新版本的 Debian GNU/Linux 8.10 “ Jessie ”。如果用户想安装该版本，可以从相关渠道下载 ISO 映像。 消息来源：Softpedia，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Windows XP 已经停更多年( 除了对付勒索病毒那样的紧急安全补丁 )，但因为种种原因，仍有用户乃至组织机构在使用它，安全隐患可想而知。据一位俄罗斯网友发现，俄罗斯联邦储蓄银行 ( Sberbank ) 使用的 ATM 机就还在运行 Windows XP 系统，而且存在近乎不可思议的安全漏洞，机会任何人都能轻松黑掉它。 这台 ATM 机还是挺高级的，配备了金属全键盘和触摸屏，能被黑掉也正要 “ 感谢 ” 它们俩：只需连续按下 Shift 键五次，系统就会提示是否启动粘滞键功能，而在取消对话框后，Windows XP 的任务栏、开始菜单就全都可以访问了，然后……你就可以为所欲为了。 更糟糕的是，据德国媒体报道，俄罗斯联邦储蓄银行早在至少两周前，就被告知其 ATM 机存在安全漏洞，但银行方面只是承诺会紧急修复，却至今没有采取任何措施。 经过测试发现，漏洞依然存在。 俄罗斯联邦储蓄银行是一家总部位于俄罗斯联邦首都莫斯科的金融机构，拥有约 2500 万私人客户、130 万商业客户，以及大约 1.9 万个分支机构，在俄罗斯私人和商业金融领域均处于领先地位，为东欧地区最大的商业银行。 稿源：cnBeta、快科技，封面源自网络；

研究人员表示，当今的软件项目通常有大量的依赖库，而上游库的漏洞将会影响到下游软件。据悉，最大的开源软件开发平台 GitHub 于近期宣布了安全警告服务，将搜索依赖库后寻找已知漏洞，以便帮助开发者尽可能快的修复漏洞。 目前，GitHub 将会识别所有使用受影响依赖的公开项目。然而，使用私有库的项目则需要选择加入后才能使用安全警告服务。 稿源：solidot奇客，发明源自网络；

谷歌公司内部平台问题追踪（Issue Tracker）系统近日被安全研究员曝出漏洞，利用这项漏洞攻击者可破解并获得该系统的访问权限，这能够让攻击者访问更多谷歌内部收到的功能建议和未修补漏洞详细报告，如果攻击者利用这些信息，会得到更多可利用的漏洞，造成更大的潜在威胁。在安全专家 Alex Birsan 通知谷歌后，谷歌在一小时内修补了该漏洞。 安全专家 Alex Birsan 公开了关于漏洞的细节，他发现利用一个函数调用能够让外部人员取消谷歌特定故障系统邮件列表的订阅，一旦取消订阅，系统就会认定该用户拥有高权限，从而向其发送漏洞详细细节的正式报告。而且 Birsan 还发现当他利用该函数调用取消一个他此前未订阅过的邮件列表，他也会获得关于该列表的所有漏洞细节。 这也意味着 Birsan 能够通过该方法调取涉及任何谷歌产品其它问题的故障详细报告，只要谷歌接收过关于此问题的漏洞报告。Birsan 认为利用这些报告，黑客能够找到许多未被公开的漏洞，发动更具威胁性的攻击。 稿源：cnBeta，封面源自网络；

据外媒 8 月 31 日报道，Instagram 对外宣称，此前至少有一名黑客已成功窃取知名用户帐号个人信息，然而发生该事件的主要原因是由于系统存在安全漏洞，但目前该漏洞已被修复。 Instagram 发言人表示：“ 我们最近发现有一人或者多人通过 Instagram API 漏洞非法入侵知名用户帐号，以查看联系人信息（特别是邮件地址和手机号码）”。 Instagram 应用程序界面存在一处安全漏洞，允许黑客利用恶意代码窃取目标用户帐号电子邮件地址、手机号码。不过，目前用户不必太过担忧，因为 Instagram 账号并无密码泄露且漏洞已被修复。此外，Instagram 已将该问题通报所有帐户持有人以避免用户再次遭窃。 稿源：，稿件以及封面源自网络；

据外媒 4 日报道，思科（ Talos ）安全专家发现预装软件漏洞使戴尔系统易遭代码执行攻击。黑客可利用该漏洞禁用安全机制、提权并以用户身份执行任意代码。 思科 Talos 专家表示，存在漏洞的预装软件为 Dell Precision Optimizer、InvinceaX 与 Invincea Dell Protected Workspace。目前，思科正为上述几款软件发布漏洞修复建议。相应数据包预装在戴尔系统特定版本中。 Protected Workspace 6.1.3-24058 Invincea-X 中存在的第一个漏洞 CVE-2016-9038 是 SboxDrv.sys 驱动程序中的 double fetch。黑客可以通过向设备驱动 \Device\SandboxDriverApi 发送特制数据获取开放读写权限。此外，黑客还可利用该问题在内核空间写入任意值、成功进行本地提权。第二个漏洞 CVE-2016-8732 对作为终端安全解决方案的 Invincea Dell Protected Workspace 5.1.1-22303 版本造成影响。调查显示，该漏洞存在于 5.1.1-22303 版本软件驱动组件 “ InvProtecDrv.sys ”。驱动通信信道的薄弱限制与无效验证允许黑客在受影响系统中执行的应用程序利用驱动禁用保护机制。目前，该问题已在 6.3.0 版本中得到修复。 第三个漏洞 CVE-2017-2802 关乎 Dell Precision Optimizer 应用，可导致任意代码执行，对采用 nVidia 显卡、PPO 策略处理引擎 3.5.5.0 与 ati.dll（ PPR 显示器插件）3.5.5.0 的 Dell Precision Tower 5810 造成影响。Dell PPO 服务启动期间，Dell Precision Optimizer 应用提供的程序 “ c:\Program Files\Dell\PPO\poaService.exe ” 在加载 “ c:\Program Files\Dell\PPO\ati.dll ” 后尝试加载 “ atiadlxx.dll ”，后者在默认情况下不出现在应用目录。该程序在 PATH 环境变量指定目录中搜索恰当命名的 dll 文件。如果查找到采取相同命名的 dll，无需检查该 dll 签名即可将其加载至 poaService.exe。倘若黑客提供正确名称的恶意 dll 文件，则可能导致任意代码执行。 考虑到 Invincea Dell Protected Workspace 是部署在高安全环境中用于保护工作站的常见应用，上述漏洞影响重大。Talos 建议使用受感染版本软件的组织机构尽快将软件升级至最新版本。无论如何都应在访问任何预装软件时持谨慎态度，避免漏洞被黑客利用。 原作者：Pierluigi Paganini，译者：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，谷歌拓展了旗下 “Android Security Rewards” 计划，以鼓励大家帮助其填补更多漏洞。自 2010 年漏洞赏金计划上线以来，谷歌已为安全人员支付了数百万美元。 在这一计划推出第二年，谷歌收到安全研究人员发来的 450 多份漏洞报告。过去一年中，平均每个安全研究人员获得的奖金额提高了 52.3%，总奖金额增加了一倍，增加至 110 万美元。谷歌希望通过提高赏金来激励安全研究人员，使其投入更多的时间来研究其移动操作系统 Android 中的漏洞。 据了解，“ Android Security Rewards ” 计划是对谷歌现有的内部安全计划的有益补充。它可以激励黑客个人和组织去寻找漏洞，并以适当的方式来公布这些漏洞，而不是利用这些漏洞作恶或销售给第三方作恶。 目前，谷歌 Android 团队准备提高两项漏洞赏金。发现 TrustZone 或 Verified Boot 远程漏洞的奖金额提高了三倍，从原来的 5 万美元提高到了 20 万美元。发现远程内核漏洞的奖金额提高了四倍，从原来的 3 万美元提高到了 15 万美元。 稿源：网易数码、中关村，封面源自网络

据外媒 26 日报道，安全研究人员在本周发表的一份研究报告中指出困扰领先起搏器生产厂商的一系列网络安全问题，主要包括缺乏身份验证与加密功能、第三方软件库遭受成千上万漏洞攻击等，使起搏器再度成为医疗器械安全领域的热议话题。 起搏器是用于调节异常心律的植入式心脏装置，大多数可由医师与技术人员在设备附近或远程更新。WhiteScope IO 研究人员 Billy Rios 与 Jonathan Butts 针对四家厂商生产的起搏器程控仪（ 临床设置中用于监测可植入装置工作原理与设置治疗参数的装置 ）进行了射频通信检测。 检测结果表明，为植入体提供支持的基础设施普遍存在严重安全漏洞，患者护理与网络安全之间的斗争相持不下。此外，所有心脏起搏器系统在可移动媒介上均存在未加密文件系统。就软件而言，Rios 与 Butts 在现有厂商生产的程控仪第三方库中发现 8,000 多个已知漏洞。由于医疗机构将未加密数据（社会保障卡号与病历等）存储在程控仪中，因此部分设备不仅存在患者私人信息被窃取的风险，还具有侵犯患者隐私之嫌。 安全专家表示，纵观医疗设备现状，全面修复更新仍不失为一大挑战。尽管美国食品药品监督管理局（ FDA ）已经努力简化了网络安全更新常规流程，但检测结果仍显示所有程控仪均与存在已知漏洞的陈旧软件有关。 报告详细内容见《 Pacemaker Ecosystem Evaluation.pdf 》 原作者：Michael Mimoso，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 10 日报道，苹果公司近期修复了允许黑客利用 MitM（中间人）攻击、窃取 iCloud 用户私人信息（姓名、密码、信用卡数据与 Wi-Fi 网络信息）的 iCloud Keychain 漏洞。 iCloud Keychain 同步功能允许用户在所有 Apple 设备之间共享密码与其他私人数据。苹果公司根据每台设备独有的同步身份密钥为同步过程实现端到端加密。 用户私人信息通过 iCloud Key-Value Store（KVS）传输时，应用程序与 KVS 之间的任何连接均由  syncdefaultsd 服务 与其他 iCloud 系统服务评断。 据悉，今年 3 月，研究人员 Alex Radocea 在即时通信加密协议（OTR）中发现这一漏洞，它能允许攻击者利用受信设备传输 OTR 数据。研究人员指出，攻击者不仅可以通过 MitM 攻击在无需同步身份密钥的情况下绕过 OTR 签名验证流程，还可在同步过程中利用该漏洞伪造其他可信设备截获相关数据。 安全专家强调，如果用户账户未启用双因素验证，攻击者可直接使用受害者 iCloud 密码访问并篡改 iCloud KVS 数据条目。此外专家警示，iCloud KVS 条目的潜在篡改与 TLS 通信证书的缺失都将为攻击者打开设备系统的大门。 原作者：Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

思科近期修复了一个通过 CIA 机密文件泄漏的 零日漏洞。漏洞编号为 CVE-2017-3881，允许攻击者向 318 个型号的思科网关发送命令远程执行恶意代码。 攻击代码是作为 Wikileaks  Vault7 系列 CIA 文件的一部分泄漏出去的。漏洞位于思科的 Cluster Management Protocol (CMP)中。CMP 使用 telnet 协议在网络中传递信号和通信，但它未能限制本地通信的 telnet 选项，不正确的处理畸形 CMP 特有的 telnet 选项。一位攻击者可以通过发送畸形 CMP 特有 telnet 选项，利用该漏洞与受影响的思科设备建立 telnet 会话，配置接受 telnet 连接。 稿源：Solidot奇客，封面源自网络