研究人员发现斯柯达汽车存在多个安全漏洞
安全研究人员在某些斯柯达汽车使用的信息娱乐系统中发现多个漏洞。专注于汽车行业的网安公司PCAutomotive本周在欧洲黑帽大会上披露了影响最新款斯柯达Superb III轿车的12个新安全漏洞。攻击者需要通过蓝牙连接汽车的媒体单元才能利用这些漏洞,攻击可以在10米范围内进行,无需身份验证。这些漏洞是在车辆的 MIB3 信息娱乐系统中发现的,攻击者可以利用漏洞实现不受限制的代码执行,并在每次系统启动时运行恶意代码。攻击者可获取车辆实时GPS坐标和速度数据、通过车载麦克风录音、截取信息娱乐显示屏的屏幕并在车内播放任意声音。
—— Techcrunch
中国扫地机器人品牌科沃斯回应产品安全漏洞:将使用技术手段强化产品安全性
针对近日DennisGiese和Braelynn两位安全人员在DefCon安全大会发布的科沃斯旗下产品安全漏洞,科沃斯回应称,这是技术攻防中的破解手段,但在日常生活中属于非正常手段,公司将使用限制第二账户登录、加强蓝牙设备相互连接的二次验证等技术手段强化产品在蓝牙连接方面的安全性。据两位安全人员此前的发现,通过蓝牙连接科沃斯旗下的扫地机器人、割草机产品后,黑客可以通过产品自带的WiFi连接功能实现对其远程控制,并访问操作系统中的房间地图、摄像头、麦克风等功能和信息。
—— 21世纪经济报道、Techcrunch
谷歌“快速分享”出现安全漏洞 新版本已修复
谷歌警告其“快速分享” (Quick Share) 软件中存在两处安全漏洞。这些漏洞影响 Android 和 Windows 版本,可能允许攻击者在未经用户同意的情况下向 Windows 计算机发送数据。漏洞 (CVE-2024-38272) 的 CVSS 评分为 7.1,允许攻击者绕过 Windows 版“快速分享”中的文件接受对话框。通常,当设置为“接收所有人”或“接收联系人”模式时“快速分享”需要用户确认才能接收文件。然而,这个漏洞使攻击者能够绕过这个安全措施。第二个漏洞 (CVE-2024-38271) 的 CVSS 评分为 5.9,可使恶意行为者能够在数据传输过程中充当中间人。谷歌目前已在“快速分享”最新版本 1.0.1724.0 中修复了这些漏洞。
—— Stackdiary、下载链接
防火长城存在泄漏跨国流量数据的漏洞
FOCI 2024 会议于上月举行,会议中发表的论文 “Bleeding Wall: A Hematologic Examination on the Great Firewall” 公开了防火长城于去年存在的内存越界读取漏洞。攻击者发送构造的 DNS 查询,存在漏洞的 DNS 污染服务器会在抢答的请求回复中包含缓冲区中的内容,多数时候是刚处理的上一个数据包。尽管泄漏量有限,每次只能泄漏 124 字节,但论文作者在三天之内收集了数百万条明文 HTTP 凭据等敏感信息,以及暗含防火墙进程特征的栈帧。
—— 奇客,论文
Curl 将于10月11日修复一个严重程度为“HIGH”安全漏洞
10 月 11 日,curl 将推出新版本 8.4.0。该更新将修复一个严重程度为 HIGH 等级的安全漏洞。这不是什么普通的错误。
据维护人员称,这可能是他们长期以来见过的最严重的 curl 安全问题。
有关漏洞的具体信息在发布前仍处于保密状态,预计于 10 月 11 日 06:00 UTC 时间发布。
已知信息:
CVE-2023-38545:严重性 HIGH(同时影响 libcurl 和 curl 工具)
CVE-2023-38546:严重性 LOW(仅影响 libcurl,不影响工具)
详细信息:https://github.com/curl/curl/discussions/12026
MIT评论:无处不在的键盘软件成为数亿中国用户的隐私噩梦
对于数亿中国人来说,他们在新笔记本电脑或智能手机上下载的第一个软件始终是相同的:键盘应用程序。然而,他们中很少有人意识到,这可能会让他们输入的所有内容都容易受到监视。
多伦多大学附属研究小组公民实验室最近发布的一份报告显示,最受欢迎的中文键盘应用程序之一的搜狗存在巨大的安全漏洞。搜狗的加密系统可以被利用来拦截和解密人们正在输入的内容。 不能保证这是该应用程序中的唯一漏洞,研究人员也没有检查中国市场上其他流行的键盘应用程序,这意味着这款无处不在的软件将继续对数亿人构成安全风险。
研究人员发现,并非每个单词都会传输到云端。“如果你输入nihao [中文‘你好’] 或类似的内容,[应用程序] 可以回答这个问题,而无需使用云数据库,”Knockel 说。“但如果你输入的内容更复杂,坦率地说,更有趣,它就必须访问云数据库。”
除了输入内容外,Knocker 和他的公民实验室同事还获得了其他信息,例如用户设备的技术标识符、进行输入的应用程序,甚至设备上安装的应用程序列表。
研究人员指出,许多恶意行为者都会有兴趣利用这样的漏洞并窃听击键,从获取私人信息(如街道地址和银行帐号)的网络犯罪分子到政府黑客。 一旦键盘应用程序遭到破坏,即使是其他离线应用程序(例如内置笔记本应用程序)也可能构成安全风险。
其他政府似乎也一直在关注加密数据传输的漏洞。例如,爱德华·斯诺登 (Edward Snowden) 2012 年泄露的一份文件显示,由加拿大、美国、英国、澳大利亚和新西兰组成的五眼情报联盟一直在谨慎地利用中国流行程序 UC 浏览器中的类似漏洞,拦截某些传输。
除了成为国家行为者的目标之外,通过键盘应用程序获取的击键信息还可以通过其他方式被出售、泄露或黑客攻击。2021年,有报道称广告商可以通过搜狗以及百度键盘和类似应用程序访问个人信息,并用其推送定制广告。
正如诺克尔指出的那样,使用搜狗和类似的应用程序总是会带来安全风险,特别是在中国,因为所有中国应用程序都必须在政府要求的情况下交出数据。
—— 麻省理工科技评论 (节选)
多伦多大学研究员发现,搜狗输入法存在隐私风险与安全漏洞
来自多伦多大学公民实验室的研究人员披露了搜狗输入法的一个加密漏洞,研究员通过对软件的 Windows 、Android 和 iOS 版本进行分析,发现了搜狗输入法内部的“EncryptWall”加密系统存在令人担忧的漏洞。其中包括 CBC padding oracle 攻击漏洞,这使得网络窃听者能够恢复加密网络传输的明文。
研究人员发现搜狗输入法会将用户的输入记录上传至腾讯服务器,上传过程中包含的敏感数据(例如用户按键的数据)的网络传输可以根据漏洞被网络窃听者破译,从而会暴露用户在按键输入时键入的内容。
研究员向搜狗开发人员披露了这些漏洞后,搜狗已于 2023 年 7 月 20 日发布了受影响软件的修复版本( Windows 版本 13.7、Android 版本 11.26 和 iOS 版本 11.25 )。
—— 多伦多大学公民实验室
谷歌揭示AMD/Intel处理器安全漏洞:“Downfall”(Intel)和“Zenbleed”(AMD)
昨天,谷歌发布了一篇文章,描述了第6至11代英特尔CPU(命名为Downfall,CVE-2022-40982)和AMD Zen2(命名为Zenbleed,CVE-2023-20593)中的漏洞。在团队发现这些漏洞后,已及时通知了所有受影响的公司。
英特尔在“intel-sa-00828”的帖子中列出了此漏洞的详细信息。你还可以在此处准确了解哪些 Intel CPU 受到影响。
AMD在公告“AMD-SB-7008”中详细介绍了此漏洞。
—— deskmodder.de
AMD Zen 2 and Zen 3 CPU 被发现存在重大安全漏洞
柏林技术大学的研究人员发表了一篇名为 “faulTPM: 揭露AMD fTPMs最深层的秘密”的论文,强调AMD基于固件的可信平台模块(TPM)容易受到针对Zen 2和Zen 3处理器的新漏洞的影响。针对AMD fTPM的faulTPM攻击涉及利用AMD安全处理器(SP)的漏洞进行电压故障注入攻击。这使得攻击者能够从目标CPU中访问并且提取特定模块数据,然后用来获取fTPM 模块存储在BIOS闪存芯片上的安全密钥。该攻击包括一个手动参数确定阶段和一个暴力搜索最终延迟参数的阶段。第一步需要大约30分钟的人工干预,但它有可能被自动化。第二阶段由重复的攻击尝试组成,以搜索最后确定的参数并执行攻击的有效载荷。
一旦攻击步骤完成,攻击者可以提取在 fTPM 存储或加密的任何数据,而不考虑认证机制,如平台配置寄存器(PCR)验证或具有防干扰保护的口令。有趣的是,BitLocker使用TPM作为安全措施,而faulTPM损害了系统。研究人员说,Zen 2和Zen 3的CPU是脆弱的,而Zen 4没有被提及。攻击需要几个小时的物理访问,所以远程漏洞不是一个问题。—— TechPowerUp
编注:这个基本等同于所有使用AMD前三代CPU(架构)的用户丢失了TPM内核虚拟化安全程序的安全特性。现在他的TPM只影响它的性能,不会给他带来任何安全性。现在他的设备可以很轻松的被这个漏洞绕过,并且AMD没有修复方案。这个漏洞没办法通过更新所谓的主板固件什么别的方式进行修补。
注意: 此处 TPM 安全模块为 AMD CPU 内置的虚拟安全模块,并非为独立的 TPM 安全模块,但受限于额外的硬件成本和特殊地区政府管制[如中国,伊朗,俄罗斯等国家],常规用户都不会额外购置独立模块,这将会严重影响用户设备的抗第三方攻击能力,特殊攻击者可以轻松绕过防护。—— TGzhaolijian