近期在互联网媒体上流传 PostgreSQL 存在任意代码执行的漏洞： 拥有‘pg_read_server_files’权限的攻击者可利用此漏洞获取超级用户权限，执行任意系统命令。 针对此言论，PostgreSQL 官方在2019年4月4日发表声明如下： 互联网媒体上报导的有关 PostgreSQL 方面的安全漏洞 CVE-2019-9193，PostgreSQL 安全团队强调这不是一个安全漏洞， 我们认为创建这个 CVE-2019-9193 就是个错误，而且已经和 CVE-2019-9193 的报告者联系，调查为什么会创建这个条目。 COPY .. PROGRAM 功能明确规定，只能被授予超级用户权限、或是默认 pg_execute_server_program 角色的数据库用户来执行。根据设计，此功能允许被授予超级用户或 pg_execute_server_program 的用户作为 PostgreSQL 服务器运行的操作系统用户(通常是“postgres”)执行操作。CVE 中提到的默认角色 pg_read_server_files 和 pg_write_server_files 不会授予数据库用户使用 COPY .. PROGRAM 的权限。 根据设计，数据库超级用户与运行数据库服务所在的操作系统的用户之间不存在不同的安全边界，另外 PostgreSQL 服务器不允许作为操作系统超级用户（例如“root”）运行。PostgreSQL 9.3 中添加的 COPY .. PROGRAM 的功能并未改变上述设计原则，只是在现有的安全边界内添加了一个功能。 我们鼓励 PostgreSQL 的所有用户遵循最佳实践方案，即永远不要向远程用户或其他不受信任的用户授予超级用户的访问权限。这是系统管理中应遵循的安全操作标准，对于数据库管理也需要遵循。 如果您对此有更多疑问，我们诚邀您通过社区官网与工作人员取得联系。 社区公告链接：https://www.postgresql.org/about/news/1935/     （稿源：开源中国，封面源自网络。）

攻击者正在利用两个广泛使用的 WordPress 插件中的严重漏洞，以入侵托管站点，影响站点数量众多。 前几天我们才报导过流量排名前一千万网站，三分之一使用 WordPress，这么广泛的采用，一旦其中有安全漏洞被利用，影响会相当广。 被利用的两个插件，其中之一是 Easy WP SMTP，最早由安全公司 NinTechNet 在上周日报导了其被利用进行攻击，数据显示有 300 000 次下载安装；另一个插件是 Social Warfare，已经被安装了 70 000 次，它的利用是由另一家安全公司 Defiant 披露的。 两个插件漏洞都允许攻击者在受攻击的网站上创建恶意管理员帐户。据 Defiant 报导，有两个竞争组织正在实施攻击，其中一个在创建管理员帐户后暂时停止操作，而另一个组织则会进行后续步骤，其会使用虚假帐户更改站点，将访问者重定向到恶意站点。 有趣的是，这两个攻击组织使用了相同的代码用于创建管理员账户，而且这些代码源于最初 NinTechNet 在披露插件漏洞时使用的概念验证代码。不打补丁中招的成本也太低了。 据 arstechnica 的报导，虽然开发人员已经针对这两个被利用的漏洞发布了安全补丁，但是下载数据表明许多易受攻击的网站尚未安装更新，Easy WP SMTP 在过去 7 天内的下载量仅为 135 000次，而 Social Warfare 补丁自周五发布以来，也仅被下载了少于 20 000 次。 安全事大，如果你的网站托管在 WorPress 上，并且使用了这两个插件中的任一一个，那么需要确保已将其更新为：Easy WP SMTP 1.3.9.1 或 Social Warfare 3.5.3。     （稿源：开源中国社区，封面源自网络。）

来自卡巴斯基实验室（Kaspersky Labs）的安全研究人员周一表示，他们发现去年黑客通过华硕Live Update软件的漏洞入侵计算机，向100多万华硕电脑用户发送了恶意软件，导致这些电脑可能存在后门。据台湾地区媒体《中时电子报》报道，华硕今天下午表示，此事件已在华硕的管理及监控之中。 华硕称，媒体报道华硕Live Update工具程序(以下简称Live Update)可能遭受特定APT集团攻击，APT通常由第三世界国家主导，针对全世界特定机构用户进行攻击，甚少针对一般消费用户。经过华硕的调查和第三方安全顾问的验证，目前受影响的数量是数百台，大部份的消费者用户原则上并不属于APT集团的锁定攻击范围。 华硕表示，Live Update为华硕笔记本电脑搭载的自动更新软件，部份机型搭载的版本遭黑客植入恶意程序后，上传至档案服务器(download server)，企图对少数特定对象发动攻击，华硕已主动联系此部份用户提供产品检测及软件更新服务，并由客服专员协助客户解决问题，并持续追踪处理，确保产品使用无虞。 针对此次攻击，华硕已对Live Update软体升级了全新的多重验证机制，对于软体更新及传递路径各种可能的漏洞，强化端对端的密钥加密机制，同时更新服务器端与用户端的软件架构，确保这样的入侵事件不会再发生。   （稿源：，稿件以及封面源自网络。）

研究人员发现了一个现已修补的漏洞。通过该漏洞，黑客可以使用谷歌照片（Google Photos）跟踪您的位置历史记录。 来自网络安全公司Imperva的Ron Masas在一篇博客文章中解释说，最近受到Android TV漏洞影响谷歌照片很容易受到基于浏览器的时序攻击，通过对图像数据的利用推测对某个地方或者国家的访问时间。 要想使这种攻击起作用，用户在登录谷歌照片时必须被引导打开恶意网站，而黑客则必须投入一定的精力来进行攻击，因此这不是普遍存在的风险。 然而，正如最近发现Facebook Messenger有类似漏洞的Mases指出，基于浏览器的边信道攻击仍然经常被忽视。 “虽然谷歌和Facebook这样的大公司正在迎头赶上，”他说，“行业的大部分公司仍然没有意识到。” 了解更多： https://www.imperva.com/blog/now-patched-google-photos-vulnerability-let-hackers-track-your-friends-and-location-history/     （稿源：，稿件以及封面源自网络。）

Mimecast研究实验室的一组研究人员发现了一个影响Microsoft Word的新漏洞，它不仅仅影响这个办公应用，同时还对整个操作系统都形成了威胁：允许黑客绕过目标系统上的反恶意软件等所有安全措施。该漏洞的目标是微软处理OLE文件格式时的整数溢出错误，一群来自叙利亚的黑客发现了这一重大问题。 利用这个漏洞能绕过许多旨在保护数据免受侵扰的安全解决方案，包括领先的沙盒和反恶意软件技术。 恶意软件代码显示它能够访问URL，创建文件和/或文件夹，运行shell命令以及执行和结束程序，它还可以通过记录击键和鼠标事件来窃取信息。 Mimecast Research Labs已经向微软通报了这个漏洞，但微软公司表示因为该问题仅在特殊状况下才能被利用，对大部分人来说并不会导致内存错误和代码执行，暂时还没有修复漏洞的计划，但这一工作可能会在以后完成。     （稿源：cnBeta，封面源自网络。）

美国和德国的计算机科学家发表了一篇论文，披露了针对英特尔处理器的新攻击 SPOILER。 研究者在 Intel 内存子系统私有实现中发现了地址推测的一个漏洞，它会泄漏内存布局信息，让翻转比特的 Rowhammer 攻击更容易执行。 SPOILER 攻击不同于肆虐的 Spectre 攻击，它无需提权就可以在用户空间进行利用。研究人员称，SPOILER 大幅加快了 Rowhammer 和缓存攻击。Rowhammer 翻转比特攻击影响所有处理器，但要利用 Rowhammer 可能需要花费数周时间，而在 SPOILER 的帮助下，攻击将可以在数秒内完成，Rowhammer 攻击将变得切实可行。 论文指出现代微架构包含推测性加载和存储转发等优化技术，用于改善内存瓶颈。处理器在存储之前会推测性地执行加载，并且如果存在潜在依赖性，则将之前存储的数据转发给负载。这样会提高性能，因为负载不必等待先前的存储完成。然而，依赖性预测依赖于部分地址信息，这可能导致错误的依赖性和失速危险。这正是 SPOILER 出现的原因。 Web 恶意 JavaScript 或系统上运行的病毒可以利用此安全漏洞从内存中提取密码等用户信息。 研究者表示所有 Intel 核心 CPU 都存在漏洞；他们也测试了 ARM 与 AMD CPU，但没有发现类似问题。 由于这是一种体系结构设计上的问题，所以如果没有在底层硬件进行重新设计，那么该漏洞目前来看无法轻易修复甚至缓解。 详细原理可以查看： https://arxiv.org/pdf/1903.00446.pdf https://www.theregister.co.uk/2019/03/05/spoiler_intel_processor_flaw     （稿源：开源中国社区，封面源自网络。）

如果你曾想要了解安全研究人员和黑客是如何绕过苹果严苛的安全策略和诸多安全功能，发现iPhone漏洞和其他敏感信息，那么今天外媒Motherboard的详细报道能够深入了解这个幕后的故事。而造就黑客和安全专家这些能力的最大幕后功臣，应该就是“dev-fused”版iPhone。 一些Giulio Zompetti收藏的“dev-fused”版iPhone 图片来自于 Giulio Zompetti 这是极为罕见，仅在苹果内部使用而创建的特别版iPhone。这些“dev-fused”版iPhone并未完成量产阶段，并且取消了诸多安全功能，Motherboard在报道中将其描述为“准越狱设备”（pre-jailbroken devices）。“dev-fused”版iPhone非常罕见，如果被偷运出苹果在黑市上可以卖出数千美元。这些iPhone拥有非常高的价值，因为这些可以用于查找影响iPhone现有版本的漏洞。 一台安装在支架上的“dev-fused”版iPhone Image: Motherboard 在Motherboard报道经手的一台“dev-fused”版iPhone中，背面有个QR码贴纸，而且还有一个“FOXCONN”的贴纸，指的是生产iPhone和苹果其他产品的富士康工厂。“dev-fused”版iPhone的外观和普通版iPhone相同，但是开机后就会发现很大的差异，甚至可以短暂的看到命令行终端。而且在加载完成之后，不再是iOS的图标和丰富色彩的背景。 一个Jin Store推特广告 来自于Motherboard Motherboard花费了数月时间来研究“dev-fused”版iPhone，并且和包括安全研究专家和苹果工程师在内的20多名资深人物进行了交流，发现很多安全专家、黑客以及像Cellebrite或者GrayKey这样的公司都会使用这些“dev-fused”版iPhone来发现可被执法机构所使用的BUG。 一些Giulio Zompetti收藏的“dev-fused”版iPhone 图片来自于 Giulio Zompetti 世界上最知名的iOS安全研究人员之一Luca Todesco向Motherboard透露：“如果你是攻击者，要么进行暴力破解要么花费数千美元买这样一台iPhone。而不少人都选择了第二种。”Motherboard随后在推特上发现了不少出售“dev-fused”版iPhone的用户，费用最低在1800美元左右。这些卖家同时还表示他们向多名安全专家提供“dev-fused”版iPhone，而且相信很多破解iPhone的大型安全公司也在使用这些手机。不过也有卖家提供的“dev-fused”版iPhone价格更高，Motherboard发现有个iPhone XR版本售价高达20000美元。   Mathew Solnik演示破解技术 来自于Motherboard 此外“dev-fused”版iPhone还配套使用一款名为苹果专有名为Kanzi的线缆，这根线缆售价高达2000美元。在插入Mac设备之后，能以root级别访问设备的苹果固件。这些设备中的大多数似乎是从中国富士康这样的工厂偷走并走私出来的。 Apple显然“非常清楚”融合设备的事实。苹果公司已经“加大力度”以防止这些设备离开富士康并且继续关注开发人员的iPhone卖家。     （稿源：cnBeta，封面源自网络。）

Dalil是一款类似于Truecaller的智能电话本应用程序，但仅限于沙特和其他阿拉伯地区用户。由于该应用所使用的MongoDB数据库可以在不输入密码的情况下在线访问，导致用户数据持续泄露一周时间。该漏洞由安全研究人员Ran Locar和Noam Rotem发现，在数据库中包含了这款APP的所有数据，从用户个人详细信息到活动日志。 外媒ZDNet对样本进行审查之后，发现该数据库中包括以下信息 ● 用户手机号码 ● 应用注册数据（完整姓名、电子邮件地址、Viber账号、性别等等） ● 设备信息（生产日期和型号、序列号、IMEI、MAC地址、SIM号码、系统版本等等） ● 电信运营商细节 ● GPS坐标（不适用于所有用户） ● 个人通话详情和号码搜索 基于与每个条目相关联的国家/地区代码，数据库中包含的大多数数据属于沙特用户，此外还有少部分用户来自埃及，阿联酋，欧洲甚至一些以色列/巴勒斯坦人。显然这些数据非常的敏感，甚至可以通过GPS坐标数据进行跟踪。 数据库仍然暴露大约585.7GB的信息。 Locar说每天都会添加新记录，这意味着这是应用程序的生产服务器，而不是废弃的测试系统或冗余备份。研究人员告诉ZDNet，仅在上个月就已经注册了大约208,000个新的独特电话号码和4400万个应用事件根据Play商城显示的APP信息，Dalil的下载次数已经超过500万。     （稿源：cnBeta，封面源自网络。）

讯 北京时间3月4日晚间消息，据美国科技媒体TechCrunch报道，IBM安全研究人员发现，在最流行的5大访客管理系统中有19个漏洞，黑客可以利用漏洞窃取相关数据，甚至可以潜入办公大楼敏感、禁止区域。 办公楼大厅、待客区经常装有访客管理系统，用来检查员工或者访客，让他们进入工作场所。如果是访客，会通过触摸屏、平板检查姓名与拜见的人，通过之后会打印或者派发卡牌。 不过IBM安全研究人员发现，这些系统有一些不安全漏洞。IBM检查了五大流行系统，分别是Lobby Track Desktop、eVisitorPass（最近将品牌换成了Threshold Security）、EasyLobby Solo、Passport和The Receptionist，它们分别有7个、5个、4个、2个和1个漏洞。 入侵者可以利用漏洞下载访客日志，掌握姓名、驾照、社保数据及手机号等信息；利用有的漏洞甚至可以进入底层操作系统，连线之后就能跳到其它应用和网络。 更糟糕的是，入侵者甚至可以获得默认管理证书，完全控制应用，比如编辑访客数据库。     （稿源：，稿件以及封面源自网络。）

今天早些时候由剑桥大学计算机科学与技术系、莱斯大学和斯坦福国际研究所的一组研究人员公布一个新漏洞Thunderclap，影响所有主要平台，包括MacOS和Windows。该漏洞会影响所有使用Thunderbolt接口的设备，并允许黑客通过插入数据线来黑入PC。 相关论文发表在加利福尼亚州圣地亚哥举行的网络和分布式系统安全研讨会上。它描述了macos、freebsd和linux中的一组漏洞，这些漏洞名义上利用iommus来抵御DMA攻击者。该问题与Thunderbolt启用的直接内存访问有关，现有IOMMU保护系统未正确阻止该问题。 根据该论文，大多数现代电脑都受到这种问题的影响，包括通过USB-C型端口提供Thunderbolt 3的电脑，通过Mini DisplayPort端口提供旧版本Thunderbolt的电脑，自2011年以来生产的所有苹果笔记本电脑和台式机，但12英寸MacBook除外。自2016年以来生产的支持Thunderbolt的Windows或Linux笔记本电脑和一些台式机也受到影响。 2016年，操作系统供应商在其平台上添加了Thunderclap缓解措施，但这些措施并非100%有效，安全漏洞仍会影响使用IOMMU保护的系统。虽然某些平台（如Windows 7）甚至没有配备IOMMU，但在其它操作系统上，IOMMU要么作用有限（Windows 10企业版），要么是禁用的，唯一启用的平台是macOS，但即使这样，用户也不安全，因为Thunderclap漏洞仍然可以绕过IOMMU保护。 目前，抵御这个漏洞的最佳方法是确保禁用所有Thunderbolt端口，并且不要共享硬件，如充电器，因为它们可能会被更改为目标设备。保持安全的最佳做法是确保不要让笔记本电脑无人看管。安全人员表示，这种攻击在实践中是非常合理的。Thunderbolt 3端口上的电源、和外围设备DMA组合有助于创建恶意充电站或显示器，这些充电站或显示器功能正常，但同时控制连接的机器。     （稿源：cnBeta，封面源自网络。）