Npm 团队近日发布了安全警报，建议所有用户更新到最新版本（6.13.4），以防止“二进制植入”（binary planting）攻击。Npm 开发人员表示，npm 命令行界面（CLI）客户端受到了安全漏洞的影响，同时包括文件遍历和任意文件（覆盖）写入问题。攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。 仅在通过 npm CLI 安装受感染的的 npm 软件包期间，才能利用此漏洞。 目前，Npm 团队一直在扫描可能包含旨在利用此 bug 的恶意软件包，暂未发现任何可疑案例。他们认为这并不能保证该 bug 已经被使用过，还是得提高警惕。该团队表示将继续进行监视， “但是，我们不能扫描所有可能的 npm 软件包来源（私有注册表、镜像、git 仓库等），因此尽快更新非常重要。” 相比较之下，该问题对 npm 用户的影响比对 yarn 的影响更大。 因为 npm 不仅是最大的 JavaScript 软件包管理应用，而且还是所有编程语言的最大软件包存储库，拥有超过 350,000 个库。从浏览器到金融应用程序，从台式机到服务器，JavaScript 如今无处不在。因为 npm 在 JavaScript 生态系统中具有如此重要的作用，所以它经常被滥用。 黑客的最终目标是在使用受感染的 npm 软件包构建的应用程序内部发起攻击或植入后门程序，这些应用程序以后可用于从它的用户那里窃取数据。过去有很多这样的案例。曾在 2017 年 8 月，npm 团队删除了 38 个 JavaScript npm 程序包，这些程序包是从其他项目中窃取环境变量而捕获的，旨在收集项目敏感信息，例如密码或 API 密钥。 最新的这个漏洞最初是由德国安全研究员 Daniel Ruf 发现的，他的博客上有更深入的技术报告。最后，再次提醒用户们升级到最新版本，以免遭受攻击。   （稿源：开源中国，封面源自网络。）

安全研究公司SafeBreach在卡巴斯基安全连接软件中发现的一个安全问题，它本身被捆绑到一系列其他卡巴斯基安全产品中，允许恶意攻击者在更复杂的攻击情况下获得签名代码执行，甚至规避防御。 编号为CVE-2019-15689的安全公告详细介绍了该漏洞，该漏洞使黑客能够通过作为NT权限/系统启动的签名版本运行未签名的可执行文件，技术上为在受攻击设备上进一步恶意活动打开了大门。 SafeBreak解释说，卡巴斯基安全连接捆绑到卡巴斯基杀毒软件、卡巴斯基互联网安全软件、卡巴斯基Total Security软件和其他软件中，使用的服务具有系统权限，并且可执行文件由“ AO Kaspersly Lab”签名。如果攻击者找到了在此过程中执行代码的方法，则可以将其用作应用程序白名单绕过安全产品。 而且由于该服务是在引导时运行的，这意味着潜在的攻击者甚至可以在每次系统启动时获得持久性，来运行恶意有效负载。深入分析发现，卡巴斯基的服务试图加载一系列dll，其中一些dll丢失了，而且由于安全软件不使用签名验证，很容易将未签名的可执行文件伪装成已签名的可执行文件。此外，Kaspersky服务不使用安全DLL加载，这意味着它只使用DLL的文件名，而不是绝对路径。该错误已于2019年7月报告给卡巴斯基，SafeBreak于11月21日发布了CVE-2019-15689安全公告。   （稿源：cnBeta，封面源自网络。）

Apache Solr 这次遇到的漏洞比想象的要危险得多。 Apache Solr 是一个用Java编写的高度可靠，可扩展且容错的开源搜索引擎，可提供分布式索引，复制和负载平衡查询，自动故障转移和恢复，集中式配置等。 安全公告称，此问题最初被命名为“solr.in.sh 含有未注释行”，并告诉用户检查其  solr.in.sh 文件。后来由于远程执行代码的风险，他们升级了此漏洞并取得了CVE编号。 该漏洞影响 Apache Solr 在 Linux 系统上的8.1.1和8.2.0版本（不影响Windows），这些版本的 sol.in.sh 文件中的 ENABLE_REMOTE_JMX_OPTS 配置不安全。 发现该漏洞时，由于专家认为攻击者只能利用该漏洞访问Solr监视数据，所以 Apache Solr 团队没有意识到它的严重性。 10月30日，用户“ s00py ” 在GitHub上发布了漏洞利用代码，使得黑客可以远程执行代码。为了使用Apache Velocity 模板，漏洞利用代码使用了暴露的 8983 端口 ，并利用该模板来上传和运行恶意代码。 两天后，用户“ jas502n ”发布了第二个PoC代码  ，凭借此代码，黑客可以轻松利用该漏洞。 这两个PoC迫使Solr团队于11月15日更新安全公告，漏洞CVE为 CVE-2019-12409。   专家们目前还没有探测到在野利用攻击，不过他们认为这只是时间问题。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

如果您收到一封声称来自微软的电子邮件，并要求安装所谓的关键更新，那么请立即删除这封邮件。安全公司Trustwave近日发现了新的恶意程序活动踪迹，它们利用电子邮件方式进行传播，伪装成为Windows更新让设备感染Cyborg勒索软件。 这是一种非常典型的攻击方式，首先给潜在目标发送电子邮件，邮件中会包含虚假的Windows更新。该更新似乎使用的是JPG文件扩展名，实际上是一个可执行文件，一旦启动，便从GitHub下载其他有效负载。 rustwave解释称：“根据我们的调查，受感染的设备会从一个名为misterbtc2020的GitHub账号中下载名为bitcoingenerator.exe的文件，该账号在几天前还处于活跃状态，目前已经被删除。该文件包含了btcgenerator存储库。就像附件一样，这是.NET编译的恶意软件，也就是Cyborg勒索软件。” 勒索软件感染设备后，用户文件将被加密并重命名为使用“777”扩展名。此时，用户文件被锁定，勒索软件将文本文档放置在桌面上，以向受害者提供有关如何获取解密密钥的指令。 在勒索消息中写道：“不用担心，你可以赎回所有文件！您可以发送一个加密文件[sic]，我们将免费对其进行解密。您必须按照以下步骤来解密文件：将500美元的比特币发送到钱包[钱包号码]，然后向我们的邮箱发送通知。” Trustwave警告说：“任何拥有该Builder的人都可以创建和分发Cyborg勒索软件。攻击者可以使用其他不同的主题来诱骗用户点击，并以不同的形式来逃避电子邮件网关的审查。攻击者可以使用已知的勒索软件扩展名，来误导受感染的用户识别出这种勒索软件。” 不用说，最简单的安全保护方法是避免打开电子邮件并下载附件。更新安全软件还可以帮助检测受感染的文件，并阻止勒索软件感染您的设备。   （稿源：cnBeta，封面源自网络。）

近日，顶尖白帽黑客集聚成都，对当前业内主流软件展开一系列的凌日测试。在周末（11 月 16-17 日）的天府杯 2019 国际网络安全大赛中，安全研究人员们争相对目标软件展开攻击，以斩获丰厚的积分、奖励和声誉。据悉，天府杯的规则，与全球顶级黑客大赛 Pwn2Own 类似。不过随着国内安全研究团队名声鹊起，天府杯也应运而生。 赛程安排（题图 via ZDNet） 在 2018 年秋季举办的大赛期间，研究人员成功破解了 Edge、Chrome、Safari、iOS、VirtualBox 等应用程序，以及来自多个移动设备制造商的产品。 本届大赛的第一天，参赛团队攻破了 Chrome、Edge、Safari、Office 365 等应用程序，其中包括 —— 针对经典版 Microsoft Edge 浏览器的三个成功利用、Chrome（两项）、Safari（一项）、Office 365（一项）、Adobe PDF Reader（两项）、D-Link DIR-878路由器(三项)、qemu-kvm + Ubuntu（一项）。 第一天结束的时候，曾拿下 Pwn2Own 冠军的 360Vulcan 团队处于领先地位。 在零日漏洞曝光后，软件供应商通常会在几分钟至数小时内发布对应的修补程序。 大赛第二天，安全研究人员们迎来了 16 场比赛。尽管只有一半能顺利进行下去，但还是得出了 7 个有效的攻击漏洞。其中包括针对 D-Link DIR-878 路由器的攻击（四项）、Adobe PDF Reader（两项）、以及 VMWare Workstation（一项）。 最终，360Vulcan 以绝对优势赢得了比赛 —— 成功地攻破了 Microsoft Edge、Office 365、qemu + Ubuntu、Adobe PDF Reader 和 VMWare Workstation 等应用程序，并拿到了 38.25 万美元的奖金。 VMWare和qemu + Ubuntu漏洞在赢得比赛中发挥了重要作用，分别带来了200,000美元和80,000美元的收入。   （稿源：cnBeta，封面源自网络。）

据外媒TechCrunch报道，游戏《Magic：The Gathering》的开发商 Wizards of the Coast已经确认，安全漏洞使数十万游戏玩家的数据遭泄露。该游戏开发商将数据库备份文件留在了公共的Amazon Web Services存储桶中。但是存储桶上没有密码，任何人都可以访问其中的文件。 据悉。自9月初以来，该存储桶就已经遭泄露。但是英国网络安全公司Fidus Information Security最近找到数据库并报告了此事。   对数据库文件的检查显示，其中包括有452634名玩家的信息，含与Wizards of the Coast员工相关的约470个电子邮件地址。该数据库包括玩家名称和用户名，电子邮件地址，以及创建帐户的日期和时间。该数据库还具有用户密码，这些密码经过哈希处理，因此很难但并非不可能被解密。没有数据被加密。根据外媒TechCrunch对数据的审查，这些帐户的日期至少可以追溯到2012年，但是一些最近的条目可以追溯到2018年年中。 Fidus联系Wizards of the Coast，但没有听到任何回应。直到TechCrunch与该公司取得之后，这家游戏制造商才将存储桶脱机。 该公司发言人Bruce Dugan在一份声明中对TechCrunch表示：“我们了解到，已被停止使用的网站上的数据库文件被无意间从公司外部访问了。”他表示：“我们从服务器上删除了数据库文件，并开始了调查以确定事件的范围。我们认为这是一起孤立事件，我们没有理由相信对数据进行了任何恶意使用，”但是发言人没有提供任何证据证明这一说法。 他表示：“但是，出于谨慎考虑，我们会通知玩家其信息已包含在数据库中，并要求他们在我们当前的系统上重置密码。” Fidus研发总监Harriet Lester表示：“在当今时代，错误的配置和缺乏基本的安全卫生措施仍然令人感到惊讶，尤其是当涉及到拥有超过45万个帐户用户的大型公司时。 ”“我们的研究团队不断工作，寻找诸如此类的错误配置，以尽快提醒公司，避免数据落入不法分子之手。这是我们帮助互联网更安全的小方法，”她告诉TechCrunch。 这家游戏机制造商表示，已根据欧洲GDPR法规的违规通知规则将有关泄露情况告知了英国数据保护部门。英国信息专员办公室没有立即回应此事。 对于违反GDPR的公司，可能会最高被处以相当于其全球年收入4%的罚款。   （稿源：cnBeta，封面源自网络。）

WhatsApp上个月悄悄修补了其应用程序中的一个关键漏洞，该漏洞可能使攻击者远程破坏目标设备并可能窃取存储在其中的安全聊天消息和文件。 旧的WhatsApp版本在解析MP4文件的基本流元数据的过程中会导致堆栈的缓冲区溢出。该漏洞（CVE-2019-11931）容易引发DoS攻击或远程执行代码的攻击。 如果想要远程利用此漏洞，攻击者需要的只是目标用户的电话号码，并通过WhatsApp向他们发送恶意制作的MP4文件，该文件最终可以在受感染的设备上静默安装恶意后门或间谍软件。 该漏洞影响所有主要平台（包括Google Android，Apple iOS和Microsoft Windows）的WhatsApp的消费者以及企业应用程序。 根据Facebook发布的报告，受影响的应用程序版本列表如下： 低于2.19.274的Android版本 低于2.19.100的iOS版本 低于2.25.3的企业客户端版本 包括2.18.368在内的Windows Phone版本 适用于Android 2.19.104之前版本的业务 适用于iOS 2.19.100之前版本的业务 目前，所有用户需要将WhatsApp更新至最新版本，并禁止从应用程序设置中自动下载图像，音频和视频文件。 WhatsApp告诉THN：“ WhatsApp一直在努力提高服务的安全性。我们针对已解决的潜在问题进行公开报告，并根据行业最佳实践进行了修复。在这种情况下，没有理由相信用户受到了影响。”   消息来源：TheHackerNews， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

尽管 5G 比 4G 更快、更安全，但新研究表明它仍存在一些漏洞，导致手机用户面临一定的风险。普渡大学和爱荷华大学的安全研究人员们发现了将近十二个漏洞，称其可被用于实时追踪受害者的位置、散步欺骗性的应急警报、引发恐慌或悄无声息地断开手机与 5G 网路之间的连接。实际上，5G 的安全性只是相对于已知的攻击而言，比如抵御脆弱的 2G / 3G 蜂窝网络协议攻击。 研究截图（原文 PDF 链接） 然而最新的研究发现，5G 网络依然存在着一定的风险，或对用户的隐私安全造成威胁。更糟糕的是，其中一些新手段，还可照搬到 4G 网络上去利用。 据悉，研究人员扩展了他们先前的发现，打造了一款名叫 5GReasoner 的新工具，并发现了 11 个新漏洞。通过设立恶意的无线电基站，攻击者能够对目标展开监视、破坏、甚至多次攻击。 在某次攻击实验中，研究人员顺利获得了受害者手机的新旧临时网络标识符，然后借此对其位置展开追踪。甚至劫持寻呼信道，向受害者广播虚假的应急警报。 若该漏洞被别有用心的人所利用，或导致人为制造的混乱局面。此前，科罗拉多博尔德分校的研究人员们，已经在 4G 协议中发现了类似的漏洞。 第二种漏洞攻击，是对来自蜂窝网络的目标电话创建“长时间”的拒绝服务条件。 在某些情况下，这一缺陷会被用来让蜂窝连接降级到不太安全的旧标准。执法人员和有能力的黑客，均可在专业设备的帮助下，向目标设备发起监视攻击。 新论文合著者之一的 Syed Rafiul Hussain 表示，所有具有 4G 和 5G 网络实践知识、并具有低成本软件无线电技能的人，都可对上述新型攻击加以利用。 鉴于漏洞的性质太过敏感，研究人员没有公开发布其概念验证的漏洞利用代码，而是选择直接向 GSMA 协会通报了此事。 尴尬的是，尽管新研究得到了 GSMA 移动安全名人堂的认可，但发言人 Claire Cranton 仍坚称这些漏洞在实践中被利用的可能性小到几乎为零。至于何时展开修复，GSMA 尚未公布确切的时间表。   （稿源：cnBeta，封面源自网络。）

Debian，Ubuntu，Gentoo，Arch Linux，FreeBSD和NetBSD 使用的压缩库有一个漏洞，该漏洞可能使黑客能够在用户计算机上执行代码。 macOS和Windows操作系统不受该漏洞影响。 CVE-2019-18408 该漏洞影响了Libarchive（一个用于读取和创建压缩文件的库）。它是一个功能强大的多合一工具包，用于处理存档文件，该工具包还捆绑了其他Linux / BSD实用程序（例如tar，cpio和cat），使其成为各种操作的理想选择，也是其在操作中被广泛采用的原因系统。 上周，Linux和FreeBSD在发布更新（其中包含Libarchive补丁）之后公开了该漏洞的具体信息。 该漏洞的代号为CVE-2019-18408，攻击者可以通过文件在用户系统上执行代码。谷歌安全研究人员使用两个名为ClusterFuzz和OSS-Fuzz的自动代码测试工具识别了该漏洞，并且漏洞在Libarchive 3.4.0版本中得到了修复。   可能会更糟 使用Libarchive的操作系统和程序非常之多，这也给黑客提供了很多机会。 受影响的包括台式机和服务器操作系统，程序包管理器，安全实用程序，文件浏览器和多媒体处理工具。比如 pkgutils，Pacman，CMake，Nautilus，KDE的方舟和Samba。 尽管受影响的操作系统已推出更新，但其他应用程序中Libarchive的补丁程序状态目前未知。 值得庆幸的是，Windows和macOS这两种当今最受欢迎的操作系统均未受到影响。   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Mac和Windows平台的Firefox浏览器近日成为了部分恶意网站攻击的目标，这些网站会显示虚假的警告通知并完全锁定浏览器。黑客利用Firefox中的一个BUG来篡改该浏览器，从而在无需用户交互的情况下达到目的。目前Mozilla并未公布解决方案，不过该问题已经造成严重破坏并给用户带来困扰。 这个BUG是由Malwarebytes的Jérôme Segura向Mozilla报告的，他警告称通过特制的JavaScript能够利用这个漏洞。黑客可以伪装成技术支持网站，警告用户当前正在使用盗版的Windows系统。 如Ars Technica所报告，警告消息为： 请停止并且不要关闭PC。您的计算机的注册表项已锁定。为什么我们阻止您的计算机？ Windows注册表项是非法的。 Windows桌面正在使用盗版软件。 Window桌面通过Internet发送病毒。该Windows桌面已被黑客入侵。为了您的安全，我们封锁了这台计算机。 该网站说明： 关闭窗口的唯一方法是使用Windows任务管理器或macOS中的“强制关闭”功能强制关闭整个浏览器。即使那样，Firefox也会重新打开以前打开的选项卡，导致无休止的循环。要解决此问题，用户必须强制关闭Firefox，然后在重新启动Firefox后在加载之前立即关闭虚假网站的选项卡。 Mozilla表示目前正在调查和制作修复补丁，不过目前没有准确的发布时间。   （稿源：cnBeta，封面源自网络。）