solidot新版网站常见问题,请点击这里查看。
安全
Wilson(42865)
发表于2023年01月25日 20时01分 星期三
来自黑珍珠魔咒
苹果向 2013 年上市的 iPhone 5S 释出安全更新,修复可能导致任意代码执行的漏洞。苹果 iPhone 系列智能手机通常提供五到六年的系统更新。iPhone 5S 最后一次系统更新是 2018 年推出的 iOS 12,本周它向 iPhone 5S 这款有大约十年历史的手机推送了安全更新 iOS 12.5.7, 修复了在处理恶意网页内容时可能导致任意代码执行的问题,苹果警告在运行 iOS 15 之前版本的设备上该漏洞可能正在被利用。iPhone 6 和 6 Plus 等旧型号设备也都收到更新。

安全
Wilson(42865)
发表于2023年01月20日 23时08分 星期五
来自人猿泰山之密林追踪
暗网市场 Solaris 被一家小竞争对手 Kraken 劫持,时间是 2023 年 1 月 13 日。Solaris 的暗网网站被重定向到 Kraken,相关联的区块链地址没有发生移动。Solaris 是在最大的暗网市场 Hydra Market 的服务器去年四月被德国警方扣押和关闭之后出现的,旨在吸引一部分 Hydra 的用户,它迅速获得了四分之一的该市场用户,非法销售金额约 1.5 亿美元。Kraken 的规模要比 Solaris 小。Solaris 被认为与亲克里姆林宫的黑客组织 Killnet 有关联。2022 年 12 月乌克兰网络情报分析师 Alex Holden 声称入侵了 Solaris 窃取了 2.5 万美元捐给了乌克兰的人道主义慈善机构。Solaris 否认网站遭到入侵,但 Holden 随后公开了更多证据,包括窃取的源代码和数据库。1 月 13 日 Kraken 宣布控制 Solaris 的基础设施、GitLab 库和所有项目源代码,“感谢源代码中的重大 bug。”Kraken 称它用了三天时间从 Solaris 服务器上窃取到明文密码和密钥,访问了位于芬兰的基础设施,然后下载了所有内容。它随后关闭了 Solaris 的比特币服务器。Kraken 也是亲克里姆林宫,这起事件应该与政治无关,而是出于商业动机。

安全
Wilson(42865)
发表于2023年01月18日 21时00分 星期三
来自火星超人
微星主板的 BIOS 默认设置被发现不安全,允许任何操作系统镜像运行,不管它们有没有签名或者签名是错误的。逾 290 款微星主板受到影响。波兰安全研究员 Dawid Potocki 最早发现了该问题,他尝试联系了微星但没有收到任何回应。该问题影响英特尔或 AMD 处理器使用的微星主板使用的最新固件,甚至全新型号的微星主板。

安全
Wilson(42865)
发表于2023年01月17日 15时06分 星期二
来自王朝启示录
安全公司 Avast 公布了免费的变脸(BianLian)勒索软件解密器。变脸勒索软件是在 2022 年 8 月出现的,主要针对媒体、娱乐、制造和医疗保健行业的目标,它用 Go 语言开发,硬编码了 1013 种文件扩展名,感染之后它会搜索系统中的这些扩展名用 AES-256 进行加密,加密后的文件扩展名为 .bianlian,然后留下一份勒索通知。Avast 公布的解密器主要针对现有的变种,如果出现变脸勒索软件的新变种,它可能无法解密。

安全
Wilson(42865)
发表于2023年01月16日 15时32分 星期一
来自沙皇的邮件
出于安全担忧 Linux 准备禁用微软的 RNDIS 协议驱动。RNDIS 代表 Remote Network Driver Interface Specification,是一个私有协议,主要使用 USB 协议作为其下层传输,向上层提供虚拟的以太网连接。 除了 Windows,RNDIS 在跨平台环境中没有广泛使用,由于安全担忧,Linux 内核正寻求将 RNDIS 内核驱动转移到 BROKEN Kconfig 选项,因此它在未来的内核构建中将被禁用。在被标记为 BROKEN 一段时间之后,驱动将可能从上游源码树中删除。内核稳定分支维护者 Greg Kroah-Hartman 称,RNDIS 在设计上就是不安全的,因该协议不可能做到安全,禁用其驱动将防止任何人使用它。

安全
wanwan(42055)
发表于2023年01月12日 22时49分 星期四
来自黑珍珠魔咒
过去两周,黑客利用 SugarCRM 系统的一个高危漏洞传播恶意程序控制服务器。漏洞是在 2022 年 12 月爆出的,当时没有补丁属于 0day,公开漏洞的人还发布了漏洞利用代码,称它是一个身份验证绕过加远程代码执行漏洞,这意味着攻击者不需要身份凭证就可以在存在漏洞的服务器上远程运行恶意代码。SugarCRM 官方在 1 月 5 日发布公告证实了该漏洞。提供网络监测服务的 Censys 安全研究人员周三报告,在其监测到的 3059 台 SugarCRM 服务器中有 354 台 SugarCRM 感染了恶意程序植入了后门。

安全
Wilson(42865)
发表于2023年01月11日 20时44分 星期三
来自人猿泰山之夺命山谷
微软本周二释出了一月份例行安全更新,共修复了 98 个漏洞,其中之一是正被利用的 0day。CVE-2023-21674- Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability 是安全公司 Avast 研究人员报告的,是一个沙盒逃逸漏洞,能导致提权。成功利用该漏洞的攻击者能获得系统级权限,暂时不清楚攻击者如何利用该漏洞。98 个漏洞中有 39 个属于提权漏洞,33 个远程代码执行漏洞,10 个信息泄露和 10 个拒绝服务漏洞。

安全
Wilson(42865)
发表于2023年01月11日 17时30分 星期三
来自无尽的边界
美国内政部在安全审计中发现,逾五分之一的密码可以用标准方法破解。审计人员获得了 85,944 名联邦雇员账户密码的哈希值,然后用包含 15 亿单词的字典进行暴力破解。结果成功破解了其中 18,174 个哈希值,占到了总数的 21%。其中 288 个账户具有高权限,362 个账户属于政府高级雇员。审计人员仅仅在 90 分钟内就破解了 16% 的哈希值。最常见的密码是 Password-1234,有 478 人使用;Br0nc0$2012,有 389 人使用;Password123$ | 318;Password1234 | 274;Summ3rSun2020! | 191;0rlando_0000 | 160;Password1234! | 150...

安全
Wilson(42865)
发表于2023年01月11日 15时41分 星期三
来自蒸汽歌剧
为丹麦央行以及该国金融业提供 IT 解决方案的 Bankdata 公司遭到了 DDoS 攻击,央行以及七家私人银行网站的访问受到干扰。DDoS 攻击通过将流量引导到目标网站以迫使其下线。丹麦央行的发言人表示,其网站周二下午访问正常,攻击没有影响到银行的其它系统或日常运作。Bankdata 的一位发言人表示,在受到 DDoS 攻击后,七家私人银行的网站访问周二短暂受限。受影响的银行包括丹麦最大的两家银行—— Jyske Bank 和 Sydbank。
安全
Wilson(42865)
发表于2023年01月09日 13时56分 星期一
来自智能侵略
程序员使用 ChatGPT 帮助他们完善代码,网络罪犯则求助于 ChatGPT 帮助他们完善恶意代码。OpenAI 的通用聊天机器人原型 ChatGPT 让技术不那么精通的网络罪犯快速写出恶意代码成为可能。安全研究人员在地下黑客论坛观察到了使用 ChatGPT 写恶意代码的现象。研究人员称,目前用 ChatGPT 开发的恶意程序都相当简单,但更复杂程序的出现只是时间问题。在一个黑客论坛,有人以《ChatGPT – Benefits of Malware》为题描述了使用 ChatGPT 重新创造常见的恶意程序。

安全
Wilson(42865)
发表于2023年01月09日 13时01分 星期一
来自太空仙女
微软将在本周二的例行更新中释出 Windows 8.1 的最后一次安全更新。Windows 8.1 没有获得与 Windows 7 相同的 Extended Security Updates 扩展安全更新待遇,因此在最后一个安全更新释出之后,微软将停止支持 Windows 8.1,用户可以继续使用,但微软或其它任何人不会再修复安全问题。微软也将在周二释出 Windows 7 的最后一次安全更新,但此后还是会有商业公司继续提供付费更新,ACROS Security 的第三方安全平台 0patch 将会至少支持 Windows 7 两年,每年付费 25 美元。

安全
Wilson(42865)
发表于2023年01月06日 21时56分 星期五
来自忽然七日
在 LastPass 披露用户加密库被盗两周之后,消息应用 Slack 和软件测试和交付公司 CircleCI 先后披露了安全事故。Slack 称员工令牌凭证被盗,而 CircleCI 的事故可能更严重,其储存的客户秘密可能暴露,它建议客户轮换储存在其服务上的所有秘密。CircleCI 同时通知客户其 Project API 令牌失效需要更换。CircleCI 的服务被逾百万开发者使用,登录凭证、访问令牌等秘密暴露可能会对整个互联网的安全造成严重影响。CircleCI 建议客户检查下 12 月 21 日到 1 月 4 日期间的内部日志,看看是否有未经授权的访问。这可能意味着黑客在 CircleCI 的系统中可能潜伏了两周时间,如此长的时间足够收集行业最敏感的数据。

安全
Wilson(42865)
发表于2023年01月05日 15时39分 星期四
来自龙岛
在 12 月 25 日-30 日之间下载 PyTorch 框架的隔夜构建版本的用户会安装恶意版本的 torchtriton 依赖,窃取系统数据。PyTorch 项目建议用户卸载旧版本安装最新的隔夜构建版本。使用 PyTorch 稳定版本的用户不受影响。一位自称对此事负责的人士表示,恶意版本的 torchtriton 是一个研究项目的一部分,但不小心出差错了。他们对此表示道歉,称窃取的数据已经全部删除。这是最新一起的依赖混淆攻击。

安全
Wilson(42865)
发表于2022年12月29日 21时24分 星期四
来自王牌飞行员
恶意程序的运营者日益滥用 Google Ads 将恶意程序传播给搜索合法软件的用户。受害者包括了 Grammarly、MSI Afterburner、Slack、Dashlane、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird 和 Brave。黑客会创建上述项目官方网站的克隆,但将用户点击下载的软件替换为恶意程序。通过这种方法传播的恶意程序包括 Raccoon Stealer 的变种, Vidar Stealer 的定制版本, IcedID 恶意程序加载器。当广告商利用 Google Ads 发布广告时,如果 Google 检测到目标网站是恶意的,广告会删除。恶意程序的运营者利用了一种简单的方法绕过了这种检测——方法是首先将点击广告的用户带到没有恶意程序的网站,然后再重定向到克隆网站。

安全
Wilson(42865)
发表于2022年12月25日 19时53分 星期日
来自图夫航行记
一名用户名 Ryushi 的用户在黑客论坛 Breached 兜售 4 亿 Twitter 用户的数据库,声称是利用 Twitter API 的漏洞抓取的,包括了电子邮件、用户名、姓名、粉丝数、创建日期和电话号码。这位用户公开了几位名人的样本,排在最前面的是美国民主党议员 AOC(Alexandria Ocasio-Cortez)。黑客还建议 Twitter 或马斯克(Elon Musk)花钱购买该数据库,威胁他们将会面临因数亿用户数据被抓取而面临欧盟的 GDPR 巨额罚款,表示如果 Twitter 购买的话将会停止出售。黑客利用的是今年早些时候已经修补的漏洞,上个月一个包含 540 万 Twitter 账号的数据库在黑客论坛免费共享,最新披露的数据规模则包含了绝大部分 Twitter 用户。

安全
Wilson(42865)
发表于2022年12月23日 20时53分 星期五
来自好兆头
美国 FBI 在一份公告中推荐使用广告屏蔽工具,它警告网络罪犯正利用搜索结果中的广告窃取或勒索受害者的钱财。FBI 称网络罪犯购买广告冒充合法品牌如加密货币交易所,而广告通常会显示在搜索结果的顶部,用户不注意可能区分不了广告和搜索结果。恶意广告还诱骗用户安装伪装成合法应用的恶意程序,可能会窃取密码和使用勒索软件加密文件。FBI 的一个建议是使用广告屏蔽工具。通过安装广告屏蔽工具,潜在的受害者可能会看不到任何广告,更容易找到合法网站。广告屏蔽工具也有助于拦截网站不必要的臃肿部分,有利于隐私保护。FBI 称用户可以选择关闭广告屏蔽工具,选择允许或拒绝网站的所有广告。

安全
Wilson(42865)
发表于2022年12月23日 14时48分 星期五
来自暗影徘徊
提供密码管理服务的 LastPass 披露了最新安全事故的调查结果——用户信息和密码库被盗,但短时间内黑客要破解用户的主密码是非常困难的。LastPass 称它最近在第三方云储存服务监测到异常活动,它立即启动了调查。调查发现,黑客利用了今年 8 月入侵开发环境中窃取到的情报,黑客在 8 月的入侵中窃取了部分源代码和私有技术信息,其中包括了 LastPass 在云储存服务中用于访问和解密部分存储卷的凭证和密钥。黑客随后拷贝了用户信息的备份和用户密码库的备份。用户信息包括了公司名称、终端用户名称、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址。用户密码库使用了 256 位 AES 密钥加密,只能通过源自用户主密码使用 Zero Knowledge 零知识架构的唯一加密密钥解密。LastPass 没有储存用户的主密码。黑客可能会通过暴力破解尝试猜出用户的主密码,LastPass 认为这非常困难,它对客户可能遭遇钓鱼攻击发出了警告。

安全
Wilson(42865)
发表于2022年12月22日 17时39分 星期四
来自飞向火星
安全公司 Group-IB 的研究人员报告,名为教父(Godfather)的 Android 银行木马正将 16 个国家的银行和加密货币应用用户作为攻击目标,涵盖美国、土耳其、西班牙、加拿大、德国、法国和英国的 215 家国际银行、94 个加密货币钱包和 110 个加密货币交易平台。研究人员报告,教父的一项有意思功能是不会攻击俄语用户或前苏联国家用户的语言,其中包括阿塞拜疆语、亚美尼亚语、白俄语、哈萨克语、吉尔吉斯语、摩尔多瓦语、乌兹别克语或塔吉克语。这可能表明教父的作者是俄语开发者。教父被认为是 Anubis 银行木马的新版本,两者共享了代码库。黑客在窃取用户的凭证和绕过二因素认证之后会将受害者银行账户和加密钱包内的资金全部转掉。

安全
Wilson(42865)
发表于2022年12月21日 21时59分 星期三
来自开普罗纳的魔法师
身份认证管理服务商 Okta 在一封名为机密信息的邮件中证实它在 GitHub 的私有代码库被入侵源代码被盗。Okta 今年发生了多起安全事故,早些时候黑客组织 Lapsus$ 声称访问了 Okta 管理终端和部分客户数据。最新这起事故是 GitHub 最早发现的,它警告 Okta 其代码库有可疑访问。随后的调查发现黑客拷贝了该公司私有库的源代码,但没有未经授权访问了该公司的系统或客户数据。黑客访问了 Okta Workforce Identity Cloud (WIC)代码库。该公司表示将在公司博客上公布更多信息。

安全
Wilson(42865)
发表于2022年12月20日 23时22分 星期二
来自歧义性标题
GitHub 官方博客宣布腾讯微信成为其秘密扫描项目的合作伙伴。不是腾讯微信会秘密扫描 GitHub 的所有代码库,而是 GitHub 有一个项目叫秘密扫描(secret scanning),旨在防止开发者的私有令牌对外泄露。开发者在公开项目中硬编码安全凭证日益成为一个严重的安全隐患,秘密扫描就是在发现这些机密信息后警告开发者。与微信合作意味着 GitHub 将在公开代码库中扫描微信官方帐户和小程序开发者相关的私有令牌,发现之后允许微信撤销这些暴露在外的令牌。