微闻

标签: 漏洞

  • 向日葵团队否认远程控制出现漏洞

    有传闻称向日葵远程控制出现漏洞导致勒索病毒蔓延。该消息传播迅速且广泛。但贝锐向日葵团队否认了这种说法。

    向日葵团队表示经安全团队排查目前没有遭到任何攻击,向日葵远程控制服务处于正常状态,网传消息为谣言。

  • 安卓版 TikTok存在高严重性漏洞

    微软在 TikTok for Android 中发现一个“高严重性漏洞”,攻击者能接管点击恶意链接的账户

    安卓版 TikTok 应用的一个漏洞可能让攻击者接管任何点击恶意链接的账户,可能影响该平台的数亿用户。

    今天,微软 365 防御研究小组的研究人员在一篇博文中披露了一键式攻击的细节。微软向 TikTok 披露了这一漏洞,此后已打上补丁。

    该漏洞及其导致的攻击被称为 “高严重性漏洞”,一旦任何 TikTok 用户点击一个特制的链接,就可以在他们不知情的情况下劫持他们的账户。点击该链接后,攻击者可以访问账户的所有主要功能,包括上传和发布视频的能力,向其他用户发送消息,以及查看存储在账户中的私人视频。

    潜在的影响是巨大的,因为它影响了安卓 TikTok 应用的所有全球变体,该应用在谷歌应用商店的总下载量超过了 15 亿次。然而,没有证据表明它被坏人利用了,TikTok 发言人莫琳-沙纳汉说:”参与发现和披露的研究人员赞扬了 TikTok 的快速反应。”

    —— theVerge

  • iOS 存在流量泄露漏洞已超过2年

    研究人员称 iOS VPN 存在流量泄露漏洞,该漏洞存在已超过2年

    一名安全研究人员说,苹果的iOS设备并不像用户所期望的那样,完全通过VPN路由所有的网络流量,这个潜在的安全问题,设备制造商已经知道多年了。

    迈克尔-霍洛维茨(Michael Horowitz)是一位长期从事计算机安全的博主和研究员,他在一篇持续更新的博文中直截了当地提出了这个问题。他说:”iOS上的VPN已经坏了。”

    霍洛维茨写道:”任何第三方VPN一开始似乎都能工作,给设备一个新的IP地址、DNS服务器和一个新流量的隧道。但是,在激活VPN之前建立的会话和连接不会终止,而且根据霍洛维茨对高级路由器记录的发现,当VPN隧道处于激活状态时,它仍然可以向外发送数据。”

    换句话说,你可能希望VPN客户端在建立安全连接之前,会杀死现有的连接,这样它们就可以在隧道内重新建立。但iOS的VPN似乎无法做到这一点,霍洛维茨说,这一发现得到了2020年5月的一份类似报告的支持。

    “数据在VPN隧道外离开iOS设备,”霍洛维茨写道。”这不是一个经典/传统的DNS泄漏,这是一个数据泄漏。我使用多种类型的VPN和多个VPN供应商的软件证实了这一点。我测试的最新版本的iOS是15.6″。

    —— arsTechnica

  • 英特尔和AMD CPU中发现的一个新漏洞

    研究人员发现英特尔和 AMD CPU 的一个新漏洞可取得加密密钥

    研究人员周二说,英特尔、AMD和其他公司的微处理器含有一个新发现的弱点,远程攻击者可以利用这个弱点获得加密密钥和其他通过硬件传输的秘密数据。

    硬件制造商早已知道,黑客可以通过测量芯片在处理这些数值时消耗的功率,从芯片中提取机密的密码学数据。幸运的是,利用电源分析攻击微处理器的手段是有限的,因为攻击者几乎没有可行的方法来远程测量处理秘密材料时的耗电量。现在,一个研究小组已经想出了如何将功率分析攻击转化为一种不同类型的侧信道攻击,这种攻击的要求相当低。

    该团队发现,动态电压和频率缩放(DVFS)–一种添加到每个现代CPU中的电源和热管理功能–允许攻击者通过监测服务器响应特定的仔细查询所需的时间来推断功耗的变化。该发现大大减少了所需的内容。在了解了DVFS功能的工作原理后,电源侧信道攻击就变得更加简单,可以远程进行计时攻击。

    研究人员将他们的攻击称为 Hertzbleed,因为它利用对 DVFS 的洞察力来暴露或泄露预计将保持私密的数据。该漏洞被跟踪为 Intel 芯片的 CVE-2022-24436 和 AMD CPU 的 CVE-2022-23823。

    —— arstechnica

  • 《DuckDuckGo隐私漏洞:是否真的如想象中的那么安全》

    DuckDuckGo 并不像你想象的那么私密,必应合同禁止DuckDuckGo完全阻止微软追踪

    DuckDuckGo并不像你想象的那样隐私。”由于保密的搜索协议,DuckDuckGo浏览器没有阻止所有微软的跟踪器,”Review Geek报道。”更糟糕的是,DuckDuckGo在被一个安全研究人员发现后才承认这个’隐私漏洞'”。

    安全研究员@thezedwards发现,手机DuckDuckGo浏览器并没有阻止第三方网站上的微软追踪器,例如Facebook旗下的Workplace.com。DuckDuckGo的CEO Gabriel Weinberg现在正在Twitter上进行损害控制。

    他解释说,微软无法看到你在DuckDuckGo中搜索的内容,DuckDuckGo浏览器阻止所有微软的cookies。但是,如果你访问了一个包含微软追踪器的网站,那么你的数据就会暴露在Bing和LinkedIn等服务中。这是DuckDuckGo与微软的 “搜索联合协议 “的结果。为了从必应拉取搜索信息,DuckDuckGo的隐私专家必须在其浏览器的安全系统中捅出漏洞。

    虽然DuckDuckGo在涉及微软的广告时有一个坚实的隐私政策,但它还没有解释微软如何使用来自第三方跟踪器的数据。而这是相当令人震惊的。也许这种情况被夸大了,或者微软可以根据你在DuckDuckGo的网络活动建立有针对性的广告档案–我们不知道,因为DuckDuckGo签署了保密协议。Gabriel Weinberg说,DuckDuckGo正在 “不知疲倦地在幕后工作”,以改善其与微软的交易。此外,他预计DuckDuckGo将在未来的更新中 “包括更多第三方微软保护”。

    —— reviewgeek,slashdot

  • Oracle Java 15及更高版本中存在严重漏洞

    Oracle 上周修补了 Java 15 及更高版本中的一个严重错误,该错误使攻击者可以伪造 TLS 证书和签名、双因素身份验证消息等

    使用甲骨文较新版本的 Java 框架的组织在上周三收到提醒。一个关键的漏洞可以使黑客很容易伪造TLS证书和签名、双因素认证信息以及由一系列广泛使用的开放标准产生的授权凭证。

    甲骨文公司上周二修补了这个漏洞,它影响到该公司在Java 15及以上版本中对椭圆曲线数字签名算法的实现。ECDSA是一种利用椭圆曲线密码学原理对信息进行数字认证的算法。与RSA或其他加密算法相比,ECDSA的一个关键优势是它生成的密钥规模较小,这使得它非常适合用于包括基于FIDO的2FA、安全断言标记语言、OpenID和JSON等标准。

    该漏洞被追踪为CVE-2022-21449,其严重性评级为7.5(满分10分),但Madden说,根据他的评估,他将其严重性评级为10分,”因为在访问管理背景下对不同功能的影响范围很广”。该漏洞可以被脆弱网络之外的人利用,根本不需要验证。

    —— arstechnica

  • ApiPost版本安全漏洞

    国产API调试工具 ApiPost 被曝6.x 版本不能联网,所有的接口和项目信息丢失。该版本似乎没有本地存放信息的机制。

    另外通过用户分享的聊天记录显示,该公司已经至少拖欠了推广者两次广告费。

    在西方社会高举数字制裁铁拳的时候,ApiPost 依靠凸显其国产软件的身份和大量广告投入获得了较大的用户增量。

  • 钉钉远程执行漏洞

    有网友发现一个钉钉的远程执行漏洞(RCE)

    触发方式见视频,有懂行的专业人士可以分析一下危害性。

    https://github.com/crazy0x70/dingtalk-RCE

  • 远程桌面工具有漏洞

    传向日葵远程桌面工具有远程代码执行漏洞

    有漏洞的版本包括 11.1.1、10.3.0.27372、11.0.0.33162,使用这些版本的用户应该立即停止使用。

    V2EX的cweijan认为根据代码,使用公网 IP 的计算机运行向日葵才会有这个风险,个人电脑无碍。

    https://github.com/Mr-xn/sunlogin_rce

  • 远程桌面工具有远程代码执行漏洞

    传向日葵远程桌面工具有远程代码执行漏洞

    有漏洞的版本包括 11.1.1、10.3.0.27372、11.0.0.33162,使用这些版本的用户应该立即停止使用。

    V2EX的cweijan认为根据代码,使用公网 IP 的计算机运行向日葵才会有这个风险,个人电脑无碍。

    https://github.com/Mr-xn/sunlogin_rce